用GRC来降低企业经营风险

“随着美国萨班斯法和有中国版萨班斯法之称的C-SOX的施行，GRC的话题正在引起越来越多人的关注。” 赛门铁克IT管理、风险与合规部门区域产品管理总监Caroline Wong告诉记者。刚加入赛门铁克不久的Caroline Wong拥有信息系统安全认证专家（CISSP）的头衔，此前在eBay、Zynga公司任职，负责这些企业的整个信息安全工作。

据Caroline Wong介绍，一个典型的GRC实施过程可以分为四个阶段：第一个是计划阶段，即确定企业将针对什么样的标准或者是什么样法规框架去实现合规，然后会制定一套相应管控框架，通过技术和流程上的保障在这个管控框架中实现合规；第二个是评估阶段，会根据确定的标准来评估在企业安全合规框架中所使用的技术和流程管控手段，是不是达到了第一阶段计划当中制定的标准；第三个是报告阶段，要把问题向各个利益相关方做充分的沟通，包括对采取补救措施负责的部门或者是主管以及将负责在安全技术方面的采购决策的负责人；最后是补救，仅仅制定和评估标准是不够的，一个负责安全的部门必须要能够驱动相应的变化去提高整个企业的安全和合规水平。

“这个过程很复杂，完全手工几乎无法完成，GRC解决方案必不可少。GRC解决方案就是通过自动化、可视化等手段来把帮助企业进行企业风险管理、合规管理以及内控，从而规避风险，同时驱动公司的业绩以及公司的战略实施。”Caroline Wong表示，这也正是赛门铁克可以为企业提供帮助的地方。

赛门铁克今年刚刚发布了最新版的GRC——Symantec Control Compliance Suite 11。其中，包含众多模块，可以为GRC的四个阶段提供帮助。比如，计划阶段的策略管理模块帮助企业主管给CIO/CSO在制定策略上的授权，而风险管理模块让负责人对风险管理做出界定等。值得一提的是，该解决方案新增了风险管理模块（Risk Manager），它把技术问题转化成了与企业流程相关的风险问题，为不同的利益相关方提供关于IT风险的定制化分析，并且可以基于业务关键性而非技术严重性，确定补救措施的优先级。

Caroline Wong说，基于赛门铁克新一代GRC解决方案，安全主管能够依据IT风险指标为特定人群定制不同的风险报表，从而使企业中围绕IT风险进行的沟通更为有效。

Caroline Wong特别强调，企业实施合规和风险管控并不仅仅是要花钱满足各种法规的要求，应对各种审计，其实对企业业务而言也是一件好的事情。比如，可以降低公司的运营风险，提升公司美誉度、知名度，最终提升竞争力，更好地帮助企业达成经营目标。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]