Symantec IT GRC解决方案：自动化风险与法规遵从

“2-Symantec_symposium_IT GRC整体解决方案.pptx”是一份关于IT治理、风险管理和法规遵从（IT GRC）的详细实施方案的文档，由Symantec公司提出，主要由林明峰，中国区产品经理，进行讲解。文档探讨了大型企业在面对日益复杂的威胁、不断变化的基础架构、增多的法规要求以及频繁的安全风险评估时所面临的挑战，并提出了Symantec Control Compliance Suite作为解决这些问题的整体方案。 1. IT GRC挑战：随着技术环境的快速变化，企业需要处理的威胁类型和数量都在增加，同时，基础设施的调整和配置变动使得管理变得更加困难。此外，法规遵从的压力也在增大，需要定期进行安全风险评估，配合内外部审计，并向多个利益相关方报告合规状态。 2. Symantec Control Compliance Suite：此解决方案旨在帮助企业管理IT GRC的复杂性。它包括内置的策略内容，用于制定和管理策略，自动化法规更新，以及将策略与控制措施对应，从而减少因应对不同法规中的相似控制而产生的冗余工作。 3. 风险分析和实现原理：该方案通过自动评估技术控制，识别配置错误和不符合项，利用丰富的预装内容进行分析，同时提供了管理例外情况的工具。无代理和基于代理的数据收集选项增强了灵活性，确保全面评估IT基础设施。 4. 高级漏洞评估：Symantec方案提供了强大的扫描引擎，能检测到大量漏洞，包括Web应用程序、数据库、服务器等中的潜在威胁，通过独特的风险评级算法进行风险评估，有效预防对关键资产的威胁。 5. 自动评估程序控制：采用基于Web的调查问卷，涵盖多种法规和标准，通过风险加权调查进行评估，跟踪响应，与技术控制检查结合，提供全面的遵从状况视图。 6. 重要资产识别与优先级划分：结合数据丢失防护（DLP）技术，能识别并优先处理含有敏感数据的资产，提供加固建议，并通过比较CCS和DLP数据来优化补救工作的优先级。 7. 报告和证据管理：方案提供基于Web的动态管理面板，允许从多个视角查看并深入细节，集成不同来源的证据，支持多股东决策，同时降低了最终用户部署成本，简化了管理开销。 总结来说，Symantec提出的IT GRC整体解决方案着重于通过自动化、集成化和策略化的管理，帮助企业应对IT治理、风险管理和法规遵从的挑战，提升企业的安全态势和合规水平。通过这套方案，企业能够更有效地管理风险，降低成本，提高合规效率，并为决策者提供清晰的遵从和风险视图。