GRC 產品可以幫助您通過如迷宮般的法規需求轟炸,消弭營運風險以及衡量廠商的成效。
幾十年下來,法規促使產業發展是毫無疑問的,唯一的例外就是該產業沒有相關法規,事實上,現今企業必須面對的法規像迷宮一樣的複雜。當法規的要求越臻完備,企業必須有一套辦法來因應,於是複雜的生態系統與資訊治理議題逐漸發燒,企業會拿法規去稽核承包商和客戶,然後本身則必須接受更高一層生態圈的稽核,環環相扣。
當企業開始針對法規遵循進行安全控制與管理,就必須知道哪些是下游廠商必須被要求的,如果要在法規遵循上提高達成效率,便會有一堆的工具與安全控制方法列在你的工作清單上。要在安全控制、法規與承包關係的責任義務間制定風險決策,透過人工方式幾乎是一項不可能的任務。
GRC(Governance, risk and compliance)工具是協助風控人員面對這項挑戰的好幫手。協助提供更好的資訊,以完成風險決策、管理法規遵循的成效以及統治各項安全控制項目,包含安全意識與技術控制。
GRC大概是最新的資安術語,但是市場上已經把相關的產品與服務定位在組織的政策治理、風險管理與法規遵循這幾個矩陣中,大部分的產品承諾提供成熟的策略工具以解決相同的營運挑戰。
我們的目的在於測試與驗證GRC產品所承諾的功能以及各種特殊的技術方法。測試項目包括GRC產品應有的核心功能,如下:
1. 制訂政策、政策控制與法規的實施與對應
2. 追蹤政策控制與法規的例外事件
3. 評估技術面與非技術面的作業控制
4. 適當地轉移/?矯正失去控制的作業項目
5. 協助量化、分析與轉移企業內的風險
說實在的,要採購GRC產品真的很難,在測試時應該用一個虛擬的真實世界環境來對應企業的需求,很容易就可以從產品的功能辨識出其成熟度。因此,創造出一個假設的模擬環境,來佈署與使用GRC產品,當然也有實際的法規與科技的挑戰,當然,最終目的就是測試GRC產品是否真能實踐其承諾的功能。GRC最主要的三大核心如下所述。
法規遵循
如何評估GRC產品做到法規遵循功能?我們的標準是GRC產品可以協助企業了解、記錄、針對法規要求的文件化,載明如何做到遵循與資料存放於何處。當然,如何協助制定政策以及對應法規要求,接著確認政策的各種技術控制項目,同時也評斷對於政策的合適性,以及控制項目的實際運作成效評估。
我們制定了多項政策,以連結對應到法規需求,同時建立技術控制(technical controls)以實踐政策的統馭。換句話說,你必須可以透過這些工具追蹤法規遵循活動以及控制項目的實踐。
風險管理
分析營運風險是一件難事,尤其是加上了法規遵循的複雜層面,正因此促使GRC工具的市場發展。想像一下你的公司,未來全公司在處理資料的方式與存放資料的裝置,都必須有風險管理,那是多麼複雜的工作流程。舉例來說,為了在舊有的系統上套用風險控制項目,你必須知道系統之間的相依性,包含資料在營運過程中的角色、IT作業流程與外部第三方參與的程度,當然還包括了法務部門的介入。
如果有工具可以協助進行自動化蒐集資訊與風險分析,評定相關風險與相關系統的關聯,最後就可以做到記錄追蹤企業的技術面控制項目的實踐程度,並且分析相關的例外事件。
技術面控制
最後,我們評斷GRC產品的功能方式,就是對於技術面控制的管理,如何對應到法規的需求項目,我們指派各種技術控制項目給不同產品以進行監控,例如:對於遠端裝置的資料定期輪詢(periodically poll)、資料的匯入以及對於系統面的弱點評估工具,以獲得系統控制與應用程式的控制結果。我們要求的底限是,這些工具能否提供實務上風險足夠的資訊。
常見的G R C產品包含A r c h e r T e c h n o l o g i e s的S m a r t S u i t e F r a m e w o r k 4 . 1、S y m a n t e c的C o n t r o l Compliance Suite 8.60 與Modulo''s Risk Manager 5.0,從不同的功能涵蓋到技術面的提供都是大不同的。有的產品核心是一個中央集中管制的架構(framework),允許用戶採用多種不同的模組,針對不同的資安實務與法規需求。例如:
. 政策管理:資安從業人員可透過此功能制定政策、組織與發布政策。
. 廠商管理:提供管理廠商關係的工具,追蹤各種合約違反的事件。
. 事件管理:建立資安事件或資料外洩問題的處理流程並管理之。
而相關遵循的法規也依照產業而有所不同,像是FTC 16 CFR Part 314 (GLBA, Gramm-Leach-BlileyAct, 美國金融服務法)、FFIEC(美國聯邦金融機構檢查委員會)、HIPAA、PCI-DSS,或是COBIT 與ISO17799(已經改版為ISO 27001)等資安的實作指引與稽核要求。雖然有現成的範本可套用,不過一般企業能按需要做修正,符合實際環境。在例外管理方面,則應該能夠選定相關控制項目之後,指派對應的處置控制方式(compensating controls),可以協助定期追蹤資安審視與例外事件處置的時程追蹤。
一般常見的GRC相關產品比較缺乏的則是自動化的自動探索機制(auto-discovery)與自動化的控制項目監控。
ARCHER SMARTSUITE FRAMEWORK 4.1
主要針對非技術面的GRC管理,產品核心是一個集中化的架構(framework),讓客戶可以自行增加模組,包含政策管理、廠商管理與事件管理。此產品可以透過ASP線上服務模式運作,其強項在於政策管理,提供許多法規遵循的現成範本,如:GLBA、FFIEC、PCI及HIPAA等。比較缺乏的是在自動探索(auto discovery)功能上,必須搭配其他弱點評估與管理工具來完成。
SYMANTEC CONTROL COMPLIANCE SUITE
其Response Assessment Module可以讓用戶自行新增給用戶填寫的問卷,來評估特定的安全需求議題。Control Compliance Suite 8.60 (CCS)就比較偏向於科技面的控制與監控,像是網路節點探索、自動驗證用戶端的組態等。其優點在於管理介面的親和度與政策的版本管理功能,更透過視覺化的關連表示方法,對於政策、安全架構與法規的關係一目了然。但是反觀在風險管理上的功能就顯得不足,對於非技術面的控制必須透過問卷的方式獲得資料來源。
MODULO RISK MANAGER 5.0
Modulo Risk Manager可以整合AD與XML資料來源,對於風險管理有非常大的彈性,但是缺乏網頁式的用戶操作介面是美中不足的地方,透過資料匯入功能可以讓企業體系中的流程、應用系統、技術元件與設備等,建構基本的風險管理標的,再透過問卷的方式蒐集相關的評估資訊彙整,提供稽核人員一個證據連結(evidence link)可以協助稽核工作的進行。其缺點在於客製化不易,彈性不足。
GRC沒有萬靈丹
每一家的方案都有各自解決IT治理、風險管理與法規遵循的藥方,在其功能面上儘可能地滿足以上所述的功能,不過,企業在考慮評估GRC方案時必須衡量實際商業營運需求面與企業環境,有些方案是針對特定產業而設計,如醫療、金融服務、顧問服務等。再者,可以從市場面來看不同產品的市場區隔,涵蓋哪些範圍與分析其資訊,嚴格來說,各家方案訴求真的大不相同。對於GRC市場而言,產業也剛開始在做出區隔,而沒有一家是所謂的領導廠商,不過有一點要確認的是,你的需求與想法,只要能和廠商所想的一樣,這樣就能夠選到你所適合的GRC方案。