合規(guī)是指企業(yè)的經(jīng)營活動與法律、規(guī)則和準則保持一致。遵循安全規(guī)范絕非易事。而且，如果企業(yè)在制定自己的合規(guī)項目時，沒有吸取其它企業(yè)的錯誤教訓，會使合規(guī)更困難。

雖然許多企業(yè)已經(jīng)為合規(guī)付出了很多時間和努力，但企業(yè)是否確信自己能夠順利通過相關(guān)的安全審計呢？

其實，許多企業(yè)的合規(guī)努力遭到挫敗的原因在于總是犯同樣的錯誤。下面就是這些企業(yè)常犯的六大錯誤：

貪多嚼不爛

不知不覺間有太多的合規(guī)要求進入了企業(yè)，但許多企業(yè)在做好準備之前還有很多工作要做。

在企業(yè)準備遵循某些規(guī)范要求之前，需要確保自己為此過程做好了準備，并且確信此過程確實有效且符合企業(yè)的目標。

企業(yè)對合規(guī)問題的最大失誤在于貪多但嚼不爛。常聽說類似這樣的豪言壯語，我們需要ISO認證。但說者卻沒有真正理解該規(guī)范意味著什么。因此，最后只能是為了獲得證書而做事情，卻無法真正地遵循自己保證過的策略；或者合規(guī)工作的負擔太重，但為了獲得一紙證書而對審計人員采取掩飾。

管理員不能像審計人員那樣思考

有太多的中高級IT管理員總能把合規(guī)工作搞得一團糟，因為他們并沒有真正理解自己將要遵循的規(guī)范或標準。許多企業(yè)不能滿足審計人員的要求，因為它們并不擁有能夠用審計者的眼光來看待其目標的管理員。

從西方企業(yè)的成功案例來看，在合規(guī)和安全兩方面最成功的企業(yè)都有從內(nèi)部提拔審計人員的策略。有些公司在雇傭?qū)徲嬋藛T兩三年之后，就會將其提拔到管理層。如果企業(yè)打算留住人才，不讓審計人員帶著管理經(jīng)驗和審計技能離職，就應當大膽地讓他們進入企業(yè)的管理層。

資源與需求不匹配

缺乏資金支持似乎也成為無法遵循規(guī)則的理由。事實上，合規(guī)需要人力和技術(shù)才能運轉(zhuǎn)。而這兩方面都需要資源。但合規(guī)并不僅僅是錢的問題，它還涉及到將適當?shù)娜藛T與工作努力結(jié)合起來。

有些公司將安全責任分配給那些最不可能很好地完成的員工。例如，讓沒有經(jīng)過安全培訓或沒有安全經(jīng)驗的初級雇員來擔當此任。這又怎能實現(xiàn)合規(guī)呢？

合規(guī)努力不能適應未來的發(fā)展

有些企業(yè)并沒有用靈活的語言來反映和說明業(yè)務及技術(shù)的變化，這會使企業(yè)自身的合規(guī)努力遭遇失敗。

合規(guī)失敗的企業(yè)，其安全策略要求了一些不會隨著時間的推移而變化，而是在所有環(huán)境中都真正可用的方法和技術(shù)。但是，企業(yè)是不斷變化的。在策略編制之后，企業(yè)的功能可能會由于合并、規(guī)模變小、破產(chǎn)等而變化。由于經(jīng)濟或操作上的原因，設置了硬性要求的策略未必總能為人們所遵循。

總體而言，企業(yè)不但要使內(nèi)部的策略文檔適應未來的需要，還要使當前的安全實踐與有些過時的規(guī)范相適應。

例如，有些合規(guī)要求是十年前定下的，無法反映當前的工作環(huán)境。企業(yè)需要與審計人員密切協(xié)作，確認所使用的當代技術(shù)滿足合規(guī)需求環(huán)境。

完全把合規(guī)推給IT

在涉及實現(xiàn)合規(guī)目標時，事情常常在IT那兒“糾結(jié)”，因為業(yè)務經(jīng)理和法律部門并沒有深入到整個過程中。

每個相關(guān)人員對“合規(guī)”都有不同的觀點。召集所有人在一起，對合規(guī)以及對企業(yè)的業(yè)務過程進行更好的洞察，這會減少安全風險，而且改善傳統(tǒng)的業(yè)務過程對于確保合規(guī)成功也是一個關(guān)鍵因素。

策略并沒有與評估或自動化綁定到一起

如果企業(yè)編制了無法正確評估的合規(guī)策略，就很難有辦法去衡量或證明是否遵循了這些策略。換言之，如果企業(yè)不能隨著時間的推移去觀察、評估合規(guī)策略，它對企業(yè)的影響就極小，因而不應當成為企業(yè)監(jiān)管程序的一部分。

必須將自動化盡可能多地應用到安全進程中，因為這是在威脅環(huán)境中全面應對快速變化的唯一方法。因而，筆者建議企業(yè)每季度都檢查那些在出現(xiàn)新技術(shù)后無法實現(xiàn)自動化的進程，并采用新技術(shù)來改善此進程。

以上列舉了導致合規(guī)失敗的六大錯誤，其實，在法規(guī)的遵從上，有一個重要的因素，即人的本性。許多企業(yè)合規(guī)失敗主要是由于沒有向用戶們解釋清楚。所以，最終用戶必須得到適當?shù)呐嘤?，他們需要了解不遵守策略的后果，這樣才能確保合規(guī)的成功。

【編輯推薦】

1. 面對海量日志 合規(guī)性日志管理和安全審計要怎么做？
2. 安全審計打造固若金湯的數(shù)據(jù)堡壘(一)
3. 安全審計打造固若金湯的數(shù)據(jù)堡壘(二)
4. 安全審計打造固若金湯的數(shù)據(jù)堡壘(三)