法规遵从的实践

开篇：润墨网以专业的文秘视角，为您筛选了一篇法规遵从的实践范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

作为全球金融业领军企业，A公司总部设在纽约，在伦敦和东京设有分公司，办事机构覆盖全球。金融业信息化目前面临的首要问题就是怎样降低安全风险。A公司的IT安全管理部门在如何管理系统的超级用户账号、访问途径、访问特权上遇到了难题。

他们急需一种可靠的方式对企业范围内分布于Linux、UNIX和Windows系统服务器之上的数据和应用软件提供大规模的跨平台安全访问，提供所发生事件的确切证据以及安全审计，还必须确保数据的真实性。

A公司选择了CA公司的eTrust Access Control解决方案，来实现更精确的访问控制管理和无干扰的审计。通过将eTrust Access Control应用于多个服务器上，限制超级用户访问的权限，A公司能够完整地了解“谁进行了访问”和“它对相应的资源做了什么”。这种基于角色的访问从根本上降低了企业风险，减轻了IT员工的相关责任。

不同于很多系统平台只是保存不安全记录，eTrust Access Control还对访问提供了能自我保护的账户管理功能。这些记录不容易被篡改，保证了审计数据的真实性。安全审计信息被直接保存到eTrust Audit的中央收集器，用于数据整合、事件统计和审计报告。这样，A公司就能清楚地估计外部审计量的增长，及时知道是否需要为重要活动准备可信报道。

为了降低成本，A公司正将系统从UNIX逐步转移到Linux平台，随着新服务器和基础架构的引进，A公司选用了CA的Netegrity作为他们的外网访问管理解决方案，并考虑选用CA其它解决方案，如用于漏洞和补丁管理的eTrust Vulnerability Manager和合并事件日志的eTrust Security Command Center等。

B公司曾是美国保险业首要的数据来源，之后成为领先的为商业和政府决策提供信息的提供商。修订后的联邦条例对安全管理提出了更严格的要求，它要求B公司能在分布式的环境下管理和审计安全;而萨班斯法案等一些新的法规，也要求他们延长审计追踪，增强对诸如盗窃欺骗等企图的识别能力。这就要求B公司在安全管理上采取更有效的手段，来保障企业经营的法规遵从性。

B公司拥有一个多样化的环境:主机、UNIX、VMS和Windows系统一应俱存，这就需要一个能跨平台操作的安全工具。面对众多安全解决方案，B公司的首要要求就是选择一套解决方案，能在多平台的环境中进行集中管理。其次该公司要求能在不同的环境中进行安全管理时，积极应对安全事件而不是消极反应。在比较了多家安全厂商之后，B公司选择了CA公司的产品。其中，eTrust Policy Compliance能帮助B公司运行和报告、识别潜在的安全漏洞并帮助安全管理员修补漏洞;eTrust Admin则解决了美国联邦政府要求的集中管理模式，配置完成后，它能自动创建和管理所有B公司系统里的用户账户; eTrust Audit则能帮助IT人员追踪之前难以寻找到的系统内的可疑活动。

采用CA eTrust系列解决方案后，B公司提高了安全管理的水平，实现了法规遵从。公司期望将目前系统管理员用于安全管理的时间缩短50%。通过密码重置功能，B公司也希望能极大限度地减少IT支持电话和非工作时间的值班人员。

从上面两个例子我们可以看出，实现法规遵从并不是很困难的事情。通过应用一个满足企业需求的安全管理工具，用户就能够有效地控制风险，加强安全管理，使IT系统中的数据和流程符合法规要求。这其中，选择合适的工具尤为重要，用户可以根据法规的具体要求和企业自身的IT状况，有针对性地选择不同的产品。