與會(huì)的用戶，咨詢師，分析師都認(rèn)同應(yīng)該有一種更好的方式讓法規(guī)遵從簡(jiǎn)單化，因?yàn)槌雠_(tái)的法規(guī)越來(lái)越多，公司所面臨的法規(guī)遵從要求也越來(lái)越復(fù)雜。

New York Life Insurance的首席信息安全官Steven Attias表示，成千上萬(wàn)的法規(guī)迫使他通過(guò)多種途徑滿足法規(guī)遵從要求，而這些法規(guī)遵從流程與業(yè)務(wù)流程通常不協(xié)調(diào)。“絕大多數(shù)法規(guī)只是告訴你要做哪些事，有一些法規(guī)描述得很模糊，有一些法規(guī)規(guī)定得太刻板。這些寫法規(guī)的人都不懂我們這個(gè)領(lǐng)域?！?/P>

一位分析師認(rèn)為，如果法規(guī)遵從是一個(gè)整體過(guò)程而不是針對(duì)每條法規(guī)有不同的過(guò)程，這樣將好得多。KPGM Technology Insider的Dave Pelland說(shuō)：“對(duì)于很多公司來(lái)說(shuō)，法規(guī)遵從仍然是一個(gè)不確定的目標(biāo)，很多公司正在研究怎樣自動(dòng)化這個(gè)過(guò)程?！?/P>

Institute of Internal Auditors的財(cái)務(wù)副總裁Adam Losner稱，每次法規(guī)遵從的目標(biāo)改變后，公司都要花錢雇請(qǐng)審計(jì)師和咨詢師，開(kāi)始創(chuàng)建文件管理流程。

他建議公司采取一種整體的方法來(lái)實(shí)施法規(guī)遵從而不是針對(duì)不同的法規(guī)采取不同的方法。現(xiàn)在很多公司都找到了多種方法來(lái)應(yīng)對(duì)法規(guī)遵從的要求，但是他們的方法需要花很多錢，因?yàn)樗麄冡槍?duì)不同的法規(guī)購(gòu)買不同的工具，而沒(méi)有一個(gè)綜合的方案。

   法規(guī)遵從的重心有所轉(zhuǎn)變。最初，法規(guī)遵從只圍繞薩班斯法案（Sarbanes-Oxley, SOX）和其他特定法規(guī)，現(xiàn)在法規(guī)遵從更多的是意味著避免數(shù)據(jù)安全和數(shù)據(jù)保護(hù)漏洞。公司必須承認(rèn)什么時(shí)候丟失了客戶數(shù)據(jù)。由于過(guò)去一兩年中磁帶和筆記本敏感數(shù)據(jù)丟失事件屢見(jiàn)不鮮，法規(guī)遵從才有了這樣的變化。

  來(lái)自New York Life Insurance的Attias認(rèn)為關(guān)鍵數(shù)據(jù)丟失會(huì)產(chǎn)生巨大的負(fù)面影響，如果丟失數(shù)據(jù)，不僅要支付罰金，而且還會(huì)失去客戶的信任，最終將影響到你的收入。

Attias說(shuō)，名譽(yù)上的風(fēng)險(xiǎn)當(dāng)然很重要，但是相比金融風(fēng)險(xiǎn)，名譽(yù)風(fēng)險(xiǎn)就不是這么重要了。我不知道怎樣量化名譽(yù)風(fēng)險(xiǎn)，但是如果我們丟失客戶數(shù)據(jù)，賠償金大概為4500萬(wàn)美元。

Attias認(rèn)為，要防止數(shù)據(jù)丟失，就要減少對(duì)磁帶備份的依賴。我們正想辦法把數(shù)據(jù)備份到遠(yuǎn)程站點(diǎn)或者選擇加密的磁帶。但是涉及到加密時(shí)，密匙管理又是一個(gè)不可避免的問(wèn)題。

  加密帶來(lái)的另一個(gè)問(wèn)題是，恢復(fù)數(shù)據(jù)的時(shí)間延長(zhǎng)，而法規(guī)要求公司在很短的時(shí)期內(nèi)提供審計(jì)或訴訟所需要的信息。

Losner說(shuō)：“擺在你面前的要求有時(shí)是互相沖突的。一方面，HIPAA要求你安全地存儲(chǔ)并傳輸信息。另一方面，SEC會(huì)要求你快速找回幾年前的信息?！?/P>

  在本次Interop展會(huì)上，賽門鐵克首席技術(shù)官M(fèi)ark Bregman和CA首席執(zhí)行官John Swainson都提到法規(guī)遵從是當(dāng)前IT面臨的主要挑戰(zhàn)。

Bregman指出IT應(yīng)該怎樣應(yīng)對(duì)如Sarbanes-Oxley, HIPAA, and Baisel II這樣的法規(guī)，而這些法規(guī)通?；蚴侵丿B的，或是沖突的，還十分復(fù)雜。我們應(yīng)該怎樣應(yīng)對(duì)所有這些不同的法規(guī)要求？

Swainson將IT稱為“法規(guī)遵從的瓶頸。用戶審計(jì)，數(shù)據(jù)保留策略，改變和控制程序，應(yīng)用訪問(wèn)和利用，預(yù)算管理這一系列過(guò)程都涉及法規(guī)遵從，只有通過(guò)有效地協(xié)調(diào)管理才能達(dá)到法規(guī)遵從的要求?！?BR>

多易