金融海啸 企业合规管理成本如何控制？

　　当前，IT经理们和安全专家都清楚，企业必须遵守的各种网络法律法规和组织规章制度变得越来越复杂，监管范围也越来越广泛，使得企业的合规成本不断上扬。Nemertes研究所对“安全和信息保护新标准会议”的与会者进行调查时发现，大多数与会者很难计算出他们花费在合规上的费用，因为他们没有将合规作为单独的预算项目，然而合规预算的成本投入是巨大的。

　　企业认识合规管理成本，将有助于企业在金融海啸中更合理的掌握企业IT投入。确定了与合规相关的开支主要集中在哪些方面，IT专家网希望通过以下分析能为企业安全管理人员的成本计算提供帮助。

　　合规一般涉及到以下几个层次：

　　首先，法律法规。

　　最广为人知的要属被广泛应用的萨班斯法案(SOX)，该法案要求公司确认财务数据的准确性和责任制。另外企业还需要遵从包括隐私权法案、HIPAA以及GLBA等在内的各种法规，这些法案都要求企业保护机密数据(非公开的私人信息或者NPPI)。

　　除此之外，例如证券行业也会为其职权范围内的公司建立相关法规。电子商务的普及，证券交易的频繁，使得电子支付卡行业(PCI)或者证券交易机构会为他们的成员公司确定最佳实施方案以及相关规章制度。

　　法规遵从已成为全球普遍认可的趋势，我们看到美国、欧盟以及日本都有严格的法律法规来帮助企业保证业务的持续经营。

　　将法规等级化

　　虽然企业用户很难计算出他们的合规成本，但是他们都很清楚哪些法规占用了最大开支。

　　令人惊讶的是，尽管SOX法案的要求和强度都比较苛刻，但它却不是最棘手的法规，相反是那些各种各样的具体领域的法规占用着公司的最大开支，例如HIPAA、GLBA和Communications Assistance for Law EnforcementAct等。这些法规被认为是“最昂贵的法规”，因为它们占用了公司37%的时间，而SOX法案仅仅占用了26%的时间。

　　在美国，这些“最昂贵的法规”中只有不到16%的法规是国家级的，约13%属于领域机构制定的法规，例如SEC(证券交易委员会)或者联邦金融机构检查委员会等。剩下的则是一些商业性的准则，例如PCI标准或者NASD规则，以及其他通用的法规。

　　没有人期望合规成本会下降，大约60%的调查者认为他们的合规成本将上升，其余的40%则希望合规成本保持现有水平。这主要是因为监管环境的不断变化，包括新法规的创建和旧法规的扩展等。总之，公司必须做好长期投资合规的打算。

　　合规成本

　　虽然合规成本很难准确地被量化，不过我们可以将企业合规成本大体分为两个领域：人员成本、工具和基础设施成本。

　　对于人员成本方面，调查发现在IT安全公司全职员工平均要花费3.25-4.8小时的时间在合规行为上。

　　假如公司高级安全主管的工资为13万RMB(包括工资和奖金)，公司仅在安全部门发放的工资就将达到42.25万到62.4万不等，这还不包括安全部门以外的IT人员或者IT部门以外的人员。

　　从另一个角度来看，通常企业需要将整个IT预算的2%到3%花费在合规人员费用上。

　　那么这些安全人员究竟在做什么那?IT方面的合规工作基本上包括审计/报告以及管理归档和数据恢复的工作。虽然信息技术很大程度上需要依赖于技术，不过IT部门仍然需要人员去审查合规数据，创建安全登录数据的合规报告等工作。这些工作都不能很好地发挥安全人员的作用，因为大部分工作都可以自动化进行。

　　关于审计

　　将近71%的受访者表示其公司会进行内部审计工作，虽然大部分人认为他们没必要进行审计，但也不能因为资源限制而不进行审计。

　　那些定期进行内部审计的受访者中，有54%是每年进行一次审计，25%每季度进行一次审计，而17%则是每个月都审计。每年一次的审计通常都是比较全面的完整的审计，而那些更短周期的审计工作则只会涵盖某些政策、程序或者系统。

　　而进行外部审计工作的公司则略少于内部审计，约为66%。对于进行外部审计的公司，审计工作的频率与内部审计的频率也有所不同：绝大部分公司(将近74%)每年进行一次外部审计。而其余的公司则进行频繁的审计或者专门的外部审计工作。

　　审计的意义是多方面的。很多监管机构(例如PCI)都会要求进行审计工作，并且作为业务流程中很重要的部分。同时，审计能够在IT不可能执行完全的职责分离为IT提供支持。另外，在不断努力提供其安全配置和执行力的IT公司(在安全领域对于成功有成熟的指标)，审计提供了最好的反馈信息，能够根据政策和计划来审查IT部门的运作情况。

　　同时必须指出的是，IT部门以外的人员为合规进行的工作(加强数据或者程序的安全控制等)也是十分重要的，但是管理者却很难衡量和报告他们的工作量，因为通常是作为其他改善安全工作的组成部分。但我们知道，合规工作人员的工作往往只是合规工作的一部分，另一个问题就是，哪些人在做合规相关的工作。

　　职责分离

　　SOX法案或者专业职责标准(如PCI)还会要求公司对工作人员进行职责分离。这样做是为了将复杂的业务流程划分开来，并对每部分分配权限，这样就没有人能够独立完成所有步骤。

　　职责分离能够避免工作人员在业务流程中的欺骗行为以及错误行为。例如，如果某人在银行同时负责现金存款以及核对帐目报表的工作，那么这个人就可以很容易地窃取资金。

　　SOX法案严格地规定了IT在处理财务流程和数据时需要进行职责分离，但很多公司却很难做到。只有不到一半的受访者表示其公司有明确规定职责分离的政策。很多公司因为成本、系统限制或者人员短缺而无法实施职责分离，在这种情况下，可以考虑进行全面的记录、日志审计和频繁的流程审查工作等，以此可以弥补职责分离的缺失。

　　合规工具和基础设施

　　合规成本计算公式的另一个要素就是技术。具有讽刺意味的是，尽管工作人员执行合规工作需要花费高额的成本，但是绝大多数的受访者都没有购买专门的合规工具以遵守合规要求。他们主要是依赖现有的登录工具来开发审计跟踪，并利用现有的安全工具来维护访问控制。

　　但是他们越来越清楚地意识到一个隐藏的合规费用：存储。对于不断产生的生产数据、档案数据和日志数据，存储记录数据和元数据的存储量要求也在不断增加。

　　此外，一半以上的受访者会将与合规相关的档案数据在载入磁带之前暂时存储的存储区域网络中，这意味着在高速RAID阵列和企业SAN中仅为满足合规要求的档案数据占用了大量的空间。

　　受访者认为不存储信息存在很大风险，将来在法律案件中可能会需要，因此他们宁愿将数据永久地保留在存储空间。其余的受访者则表示会根据信息的类型来决定存储的时间期限。在某些情况下，时间期限是根据法律规定设置的，有时候则会进行定期审查，但大部分却并非如此，他们会为信息设置不同的保存时间，通常是7到10年，或者与法律规定的一样。

　　保存这些记录究竟会增加多少存储成本呢?这很难说。据报道存储成本每年都会增长很多，很多企业都认为是由于保存数据的增加而导致存储成本的增加。

　　存储硬件的成本每隔18个月都会下降一半(对于任何速率的磁盘空间而言)，因此，尽管消耗量增加了一倍，总体基础设施成本的增长率也不会太高。然而，启动设备、冷却和管理所有额外空间的成本却没有以同样的速率下降，使维护和运行存储的运营成本随之升高。