隨著金融服務公司,以增加一些條例,政府實體的規定,以各種報告,這些關鍵GRC的工具,你可以使用它作為一個更積極的手段。大多數產品提供了一個簡單的儀表板,通過它用戶可以找到一個公司的特定監管規定的一部分。
許多IT和與GRC的現場初步接觸的風險管理人員都非常相似-用一個簡單的電子表格的風險和安全政策的軌道。不過,這不是一個可靠的,廣泛使用的方法,它需要勞動力密集,而且容易出錯。一個更好的策略是利用現有的信息得到IT安全評估,如防火牆配置,自動GRC的評估工具設備日誌,漏洞掃描,包括客戶信息數據庫和其他類似的數據。使用這些工具,找出不足,然後向審計員或律師,使他們遵守法律的製定更加規範化,以減少該公司可能面臨的風險。
GRC的工具供應商,包括:Agiliance公司(RiskVision),阿徹技術(由今年早些時候,EMC收購),沃爾特Kluwer的弧邏輯單元(Axentis),BWise公司(GRC的平台),eGestalt技術(安全集選區),全球速度有限公司。(貨車- 2010),Lumension安全(風險分析),兆豐國際(美佳套房),MetricStream公司(GRC的平台),IBM/OpenPages公司(一般合規性管理),湯姆森路透公司(佩斯利企業集選區) ,QUMAS公司(合規解決方案),關係Security公司(rSam)和賽門鐵克(Control Compliance Suite套件)。
在深入評價您的自動化工具,然後再回答以下七個問題,他們可以決定你的分析方向:
如何在現有的安全設備,你將要部署的集成GRC的工具來使用?如Rsam和Agiliance一些工具,他們有自己的接口,可直接與不同的漏洞掃描,如Qualys公司的數目和Nessus的產品(使用)。其他工具,你需要給你的通過XML,SQL查詢,以逗號分隔的文件解析,等等,這無疑需要更多的時間信息。
你想要的所有外部企業應用提供一個統一的風險識別框架?如果你的公司只有一個部門負責進行風險評估,然後一個統一的框架,可能沒有必要。另一方面,如果不同的部門有衝突的風險作出評估,然後一個共同的出發點,將有助於加快風險評估程序。
了靈活的,易於閱讀的報告的一部分充足?預覽這些部分,了解和管理人員組成的分析師需要做很多有意義的工作報告,可以幫助你。
當發現遵守的規則或風險問題,升級過程中的權利的工作?誰最終會解決這些問題負責?您選擇的工具應有助於促進升級過程中,並集成了相應的工作流程的數目。它也應該能夠更容易地集成到現有的驗證系統如Active Directory(活動目錄)或LDAP。
GRC的收入來自軟件銷售和服務供應商的收入分別?如果你是易於使用,易於部署的產品來看,那麼你應該考慮的一個主要收入來自軟件銷售業務,如果你願意支付顧問費和培植費,你應該選擇的主要收入來源從軟件服務供應商業務。
您可以選擇本地安裝的軟件,或如何選擇作為服務(SaaS)的軟件?由於Agiliance此類產品,軟件,與上述兩種觀點的配置信息的方法,以及其他軟件,如eGestalt,唯一的方法提供支持的信託基金。後者可能更容易安裝和配置過程,降低成本,你需要選擇根據自己的情況。但一些不願使用基於雲的服務,他們仍然傾向於使用本地安裝的軟件來完成這項工作。
軟件與許多人聚會的預設模板?部分產品符合規定提取的調查,然後直接到他們的軟件產品。其他產品,如全球速度,不是數量的模板。
正如你可以看到,無論是在評估或實現,GRC的工具參與了很多東西。未來數年,不斷增長的市場需求,這些工具將逐步成熟。也能夠看到在現有的安全設備集選區的能力。
沒有留言:
張貼留言