企业安全合规需要遵从五个技巧

ITSM的绩效考核向来是一个令人头疼的问题，有时就像一团乱麻，既无章可循，又无从下手。其实，只要掌握正确的思想方法，就能拨云见日。“斩乱麻”需“快刀”，“合规性考核”就是斩ITSM绩效考核这团乱麻的快刀。

合规性考核是第一要则

通常，业内将IT系统的稳定性作为考核IT运维的重要标准，比如系统宕机与否、宕机频率、宕机时长等。笔者认为，这仅可作为一个并不重要的参考标准，因为该标准具有很大的不确定性，即系统稳定与IT运维之间有关系，但并无绝对的直接关系――运维好未必系统就稳定，比如遇到各种不可抗力或其他突发事件；运维不好也未必会一定导致系统不稳定，比如系统本身的性能极好，或侥幸某一段时间很稳定……此外，具体到系统的哪一部分宕机，这又是一个极难考量的因素。比如非核心业务部分的宕机，尽管宕机时间较长，频率也较大，但与核心业务的极其短暂、偶然的宕机相比，造成的损失也有着天壤之别。

也就是说，系统的稳定性并非 *** 作性很强的IT运维考核指标。在笔者看来，“合规性”才是IT系统运维绩效考核的最根本指标。合规性是来自审计学的一个概念，它将有没有好的规范，以及是否很好地执行了既有规范作为考核的标准。具体而言，合规性考核的第一步，就是要解决有没有好的规范的问题，即必须要有指导IT运维的规范，这个规范还必须要合理、严密、完整，并能够对IT运维工作提供非常具体有效的指导。只有这样，才是好的规范，才能使IT运维做到有法可依。第二步，在制定出好规范以后，还要对规范的执行程度，即执行是否全面到位进行考核。只有依据这个规范，一丝不苟地执行，IT运维工作才能达到设定的目标，IT运维才能做到有法必依。

如上所述，建立在合规性考核基础上的IT运维方式可以最大程度地实现IT运维的目标。那么，这种运维方式会不会大幅度提高成本呢？恰恰相反，它可以有效降低运维成本，因为一个制定得合理、严密、完整的规范，可以使一些维护工作的 *** 作性得到改善。如一项复杂的测试工作，在没有规范的前提下，必须使用一个对该测试产品非常了解， *** 作熟练、规范的工程师来实施；而有了规范后，需要的便可以只是一个能够执行 *** 作规程的技术工人，他只要根据规范的要求一步一步完成 *** 作、记录数据，而不用关心自己做的工作深层的技术内容是什么，甚至不用关心测试的对象是什么设备。规范降低了对 *** 作者熟练程度的要求，这样便可以不断降低用工成本，同时还可以降低培训成本等。

考核与外包有关系吗

现在，很多业者都在讨论运维外包的问题，并将运维的绩效考核与运维业务是否外包挂起钩来。在笔者看来，如果以合规性作为运维绩效考核的基本原则，那么，外包与否跟运维考核是没有直接关系的。无论是外包还是自己做，在对运维绩效进行考核的时候，都同样要坚持有法可依和有法必依的原则。当然，在具体怎么样做到这两点的时候，确实有自己做和外包两个选择。

首先，我们来看规范的制定环节。在这个环节上，企业可以自己搞，也可以请专业的顾问公司帮忙。一些自身技术力量比较强的企业，尤其是以IT为核心业务的技术型企业，通常自己做。而自己做，就必须考虑规范是否合理、严密、完整的问题。目前，业内已经有一些指示性的标准可供企业参考，比如目前非常流行的ITIL。

除了自己制定规范，企业还可聘请专业的顾问公司，帮助其制定规范。一般来说，一些自身运维力量较弱、IT技术力量相对单薄的非技术型企业，比如制造类、商业类等传统企业，通常考虑聘请专业的顾问公司帮其制定规范。在选择顾问公司时，企业需要对这些顾问公司进行综合考察，最关键的是要考察其在运维管理方面的经验。有些公司在某些运维规范（如机房和系统环境的运维规范）的制定方面已经具备了非常丰富的经验。举例来说，艾默生将机房的运维分为例行事务、日常维护业务、维修业务、应急业务等多个类别，并相应拟定了一套严格的检查办法，包括“问题处理及时率”、“作业计划完成率”、“作业质量系数”、“文档质量系数”等多个具体指标，这些指标都为指导与考核IT系统的运维管理绩效提供了非常具有可 *** 作性的标准。

其次是规范的执行环节。在这个环节，企业同样有自己做和请人做两种选择。在实际情况中，这两种方式通常是交错混杂。非技术型企业的做法通常是简单的自己做，复杂的找人帮；技术型企业的做法通常是复杂的自己做，简单的找人帮。但无论采取哪种方式，只要按规范一步步去做了，运维就是合格的。比如，规范要求每日巡查15个点，每点巡查5分钟，如果该运维人员在巡查过程中既没有减少巡查点，又没有在每个点减少巡查时间，那么该运维人员的考核结果就是合格的。或者，在某个点出问题后，要看运维人员能否在规定的时间内响应，如果能做到这一点，他的考核就是合格的。

安全管理与审计系统主要作用有：

1、制约作用。对单位、部门及个人的行为进行制约，保护国家和本部门、本单位的利益。

2、防护作用。通过对本部门、本单位的经济活动及财务收支情况进行事前、事中和事后审计，防止有关部门的合法权益受到侵害。

3、鉴证作用。4、参谋作用。

而且它能够对运维人员的访问过程进行细粒度的授权、全过程的 *** 作记录及控制、全方位的 *** 作审计、并支持事后 *** 作过程回放功能，实现运维过程的“事前预防、事中控制、事后审计”，在简化运维 *** 作的同时，全面解决各种复杂环境下的运维安全问题，提升企业IT 运维管理水平。

另外，2017年6月份颁布新法，原文摘录如下：“第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）不相关，此处略去；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月； （四）采取数据分类、重要数据备份和加密等措施；”

可以考虑专业的日志分析产品日志易，因为按照新法规的要求，传统的运维做法及日志分析方式很难满足合规要求。

企业安全合规需要遵从五个技巧

由于数据安全和数据保护的方式方法的不同，很容易导致不同企业遵从的法规和标准不同，进而导致企业遭受数据泄漏和安全威胁。通过创建风险管理，IT管理的规则和流程，可以有效的防止企业遭受数据泄漏的风险。

但是创建风险管理的规则和流程的任务是十分艰巨的，不同的企业喜欢采取的管理方式也不尽相同。有的企业喜欢通过单点的解决方案为每一个项目提供安全防护，但这非常容易造成工作的重复和预算的超支。

与此同时，企业发现数据泄漏的平均时间也在延长，先进的网络攻击已经超越了黑客的间谍活动，开始针对知识产权和内幕信息进行金钱的收益。更不幸的是这些网络攻击针对的企业和组织，不仅包括政府，军工企业，还包括一些"高调"的公司。很多时候，这些企业和组织因为缺乏必要的网络安全工具，经常被黑客关顾。

因此，合规性是企业运行良好风险管理计划的前提。Gartner研究机构总监曾经表示，CIO必须在进行业务决策前，积极的应对各种未知的风险和威胁。企业的CIO可以考虑用一下方法来规避风险：

第一，统一组织结构，减少错误评估风险

IT 安全是企业战略和经营目标的一个重要组成部分。通过定义关键步骤，建立一个统一的组织结构，以尽量减少由于错误评估风险和控制计算错误。同时，通过整合项目资源，从不同的领域，包括最终用户和利益相关者，特别是获得高层管理人员的支持。在进行风险评估的过程中，尽可能多的与利益相关者进行沟通。

第二，保证通畅的交流，获取评估信息

保证通畅的交流，可以有效的创造和交流设施政策。此外，风险和法规的遵从对用户是友好和有益的。例如，通过使用基于度量的业务语言，为GRC(行政管理、风险管理、法规遵从)评估提供有益信息。

第三，确定一个计划的目标和指标

企业的IT环境对当期和未来GRC有很大影响，需要组织审查现有的流程和政策，识别关键风险，资产差距，以及建立IT风险与合规指标。指标可以用来定义当前的安全与合规水平，还有未来理想的状态，使IT与该组织的其余部分都能获得安全技术部署，流程管控。

第四，具有实用和成本效益的改善计划

风险评估和分析后，通过设置GRC的优先级来实现近期和长期目标。成本效益和战略风险评估可以帮助组织优先考虑固有风险的基础上，确定最有效的基于风险的结果，控制和项目实施前的投资回报。通过一个全面核心业务流程，使组织制定或修改现行政策、程序、标准，并确定现有的控件和框架的可重复使用，以符合新的任务。此外，通过不断对未来的规划，可以达到一定的安全目标。

第五，简化风险和控制

为了减轻不必要的控制和测试的开支，GRC的团队需要对许多风险和控制之间的关系进行梳理。风险评估的定义是多个法规风险和控制共享的独特属性。通过减少重复的控制，识别控制依赖，链接之间的多层次结构风险，通过不同的进程之间共享信息，来控制GRC流程，确定标准化的实践。

通过以上措施，可以自动为GRC审计组织中的所有利益相关者提供工作流程。利益相关者可以查看的威胁和应用漏洞来进行业务评估，并优先响应，将任务分配给个人或团队，或者跨团队，跨业务线和跨地域的进行风险和法规遵从。 ;

大量实践表明，在企业IT项目的生命周期中，大约80%的时间与IT项目运营维护有关，而该阶段的投资仅占整个IT投资的20%，由此形成了典型的“轻服务、重技术”现象。

Gartner的一项调查发现，在经常出现的问题中，来自技术或产品（包括硬件、软件、网络、电力失常及天灾等）失误的方面其实只占了20%，而流程方面的失误却占了40%，人员疏忽方面的同样占了40%。

流程失误包括变更管理没有做好、超载、没有测试等程序上的错误或不完整，人员疏失包括忘了做某些事情、训练不足、备份错误或安全疏忽等。

为什么IT部门需要RPA？

RPA应用于IT领域，可实现软件安装、FTP下载、上传、邮件处理、文件夹监控、文件处理、服务器监控等流程的自动化。

在企业中，RPA可帮助IT部门系统管理、解决IT请求，通过标准化IT流程来减少人为失误。通过快速响应，IT处理时间可缩短50%-90%，服务质量可提高70%。集成来自不同供应商的各种产品，使得IT管理更加高效。而自动化工作流，使新员工更易上手。

通过RPA的应用，IT运维可以实现日常任务处理和运维流程自动化，从而提高效率，降低风险，促进运维组织风险应对能力、变化适应能力、合规遵从能力升级。

在IT运维管理向自动化转型的趋势中，RPA使得人力资源不再浪费，让运维人员有更多精力和时间投入到整个服务架构的梳理、设计中。

RPA也大大简化了传统意义上的运维工作，让运维更加主动、灵活、高效，能够紧跟企业业务发展的步伐，更可靠，更智能，为企业的发展变革持续提供有力支撑。

RPA应用于IT服务十大场景

1

服务器和应用程序监控

对每个IT部门来说，服务器崩溃、停机都是噩梦般的存在。任何一次意外停机或崩溃，都可导致数据丢失、作业停止，从而给企业带来重大收入损失。

为避免这种不必要的损失并确保业务的连续性，企业可选择在其服务器和应用程序监控过程中使用RPA。机器人自动关闭、重新引导、重新配置和重新启动各种类型的服务器。它可以帮助企业降低IT运营成本，并在非工作时间内计划停机时间，节省成本。

2

日常维护和监控

IT系统的日常监控和维护对于避免可能影响业务的计划外停机或意外事件非常重要。企业可应用RPA对服务器、应用程序和其他系统执行例行检查，以确保它们正常运行。

RPA机器人会自动标记每一个问题，提醒IT部门进行修改，以确保业务连续性，直到系统修复并完全正常运行。

3

IT技术支持

在没有增加自动化能力的情况下，IT支持团队常常被简单而耗时的查询所淹没。

RPA机器人可以围绕IT应用和基础架构自动执行各种复杂的系统管理任务，包括：1）定期诊断。RPA机器人的定期诊断工作使技术支持团队领先于其他团队，并让他们在常规用户注意到可能的故障之前做出响应。2）故障修复。

4

电子邮件处理和分发

手动创建电子邮件ID会耗费大量时间。RPA通过自动向电子邮件系统添加新用户来帮助IT部门。RPA遵循工作流来创建电子邮件ID，其中包括在创建电子邮件ID并将其添加到组织内的不同分发列表之前验证用户凭据的一系列步骤。

5

密码重置和解锁

IT部门的许多时间往往花在了重置用户密码，或解锁用户登录尝试失败后的帐户上。RPA可以管理这些任务，软件交叉验证用户的详细信息并重置密码或解锁帐户。不仅减少了用户的等待时间，并且还节省了IT部门的时间，使其专注于其他重要任务。

6

备份和恢复

手动执行大批量的备份和还原流程，耗时费力。应用RPA机器人自动执行该流程，有助于节省团队时间，并减少因重复任务而导致的人为错误。一旦工作流与自动化集成，备份和恢复工作就可以自动、准确地执行。此外，RPA机器人还可以根据技术的变化轻松地进行调整，从而确保业务连续性。

7

批处理

批处理涉及调度非交互式作业以优化计算资源的使用，这个过程通常需要花费大量时间。IT部门可以使用RPA来自动执行诸如重启和恢复、文件管理、安全系统集成、发送 *** 作员警报和分类服务类型等活动。

8

自动化测试

常见的测试场景都可以使用RPA工具自动执行，并且这些测试在每个版本之后运行，以确保新的缺陷不会引入代码中。

9

系统诊断

很多监视工具都会面临同样一个问题，就是有时不能很好地适应完全异构的环境。RPA可以无缝衔接现有的监视系统，处理环境、技术和系统。机器人模拟人工 *** 作，进行系统间的迁移，生成报告并遵照一定的规则频率发送到维护团队。

10

软件安装

无论是在本地，还是通过SSH或RDP（远程桌面），IT团队都可以依靠RPA来安装具有相互依赖组件的复杂应用程序。一旦经过开发和测试，通过RPA安装和更新软件的解决方案就可以替代人力进行重复性的 *** 作，特别是对于那些必须支持数百个技术软件的团队，实现软件批量化自动安装。

以上就是关于合规性是考核的根本指标_合规经营类指标包括全部的内容，包括:合规性是考核的根本指标_合规经营类指标包括、it安全管理与审计系统主要作用有以下哪几个方面、企业安全合规需要遵从五个技巧等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！