去除安全策略技术因素 让策略易遵从

你是否因为总在思考你的企业是否遵守了所有影响它的法规而感到疲倦？笔者有一个不同寻常的建议：把技术因素从策略中去除。让我们研析一下为什么说这么做可以使公司内的法规遵从更加容易。

随着美国政府继续不断地给企业加以越来越多的法规限制，对很多公司来说，遵从问题变得越来越难以应付了。很多法规，随便列举如儿童在线隐私保护法案（Children's Online Privacy Protection Act）、全球和国家电子签名法案（Electronic Signatures in Global and National Commerce Act）、健康保险流通与责任法案（Health Insurance Portability and Accountability Act ，HIPAA）、萨宾斯-奥克斯利法案（Sarbanes-Oxley Act 、SOX）、金融服务现代化法案（Gramm-Leach-Bliley Act ，GLBA），以及联邦信息安全管理法安（Federal Information Security Management Act ，FISMA），都拥有一个普遍性的主题：它们要求公司安全地配置和控制其网络架构。

很多企业试图从错误的角度来遵从它们。他们逐条对照一大堆的法规，试图得出结论：我们遵守了吗？其实这是一种误解。

那不是该问的问题。企业真正该问的问题是：我们的企业策略遵守它们了吗，和我们按照企业策略执行了吗？不要再去通过执行新的安全技术，安装新的安全设备或者设立安全管理方案去追求这种遵从性了；取而代之，好好处理问题真正所在的核心吧——它就是在你的安全策略之中。

从哪里开始

第一步是理解这些策略是企业需求，法规要求和法律义务的混合产物。策略不能是技术审查，而应是服务于企业需求的参照标准和法律指南。

那就是为什么不应当建立基于技术的策略的原因。技术的改变总是更快，你却无法及时修订策略。

例如，请不要说，“我们必须使用文件安全加密法保障含有客户信息的文件的安全。而是应该建立一个策略，其文这样规定，“我们必须保障客户信息的安全，保证只有授权个人能够查看和修改它们。”

仅通过改变对这句话的措辞，效果就已经产生了巨大改变。此陈述涵盖了访问许可的各个方面，包括电子方式和硬载体方式的复制安全性、存储安全性，以及企业环境内外信息传输的安全性。

效果到底如何

去除策略中的技术内容初看好像反而有碍于达到生产目标，但却有助于维持对法规的遵从。你可以在符合法规要求的前提下使用这些策略明确业务目标，并使用这些策略处理不同方面的遵从性问题。

审计经常是最棘手的遵从难题之一。对审计不同的人有不同的定义。例如，会计师和防火墙管理员就会给你两个完全不同的定义。不过，你的策略必须对各种情况应对自如。

你的IT安全审计策略不应该这样陈述，“保留3年内包含系统记录或文件访问记录的所有电子日志”，没必要这样精确。你应该这样陈述，“保留对企业资源、企业系统和企业过程的授权和未授权的所有访问记录。”这样就去除了策略中的技术因素，把法规遵从性看作了一个全局企业过程。

最后的思考

追求和网络及新技术保持完全一致是一场打不赢的战斗。好在那些为你管理和维护网络的IT专家通常思维敏锐。只要你给他们一组宽泛的符合企业需求的策略，他们就能使用这些策略而为你的企业架构设立各种安全标准，并会在网络的遵从管理中严格地执行这些标准。只要在策略有效期内，你再也不需要思考，“我们遵从这条法规了吗？”