 |  |  |
   |
Jarocki说: “先要了解监管机构在一年前所说的内容,再与同行交流,了解他们今年在关注哪些事情。基于这些收集到的信息,Jarocki就可以规划本企业的投资重点,从而把钱用在刀刃上。
对中等规模的公司、特别是那些必须遵守《萨班斯-奥克斯利法案》的公司而言,落实行之有效的法规遵从策略是关键所在。Gartner公司的Pescatore说: “对那些公开上市的公司来说,《萨班斯-奥克斯利法案》阻碍了公司运作。如果你是一家上市公司,每年做1亿美元的业务,却受到与通用电气公司同样的审计力度,那太可怕了。” Pescatore说,有一部分小公司在谈论退市,因为退市后,它们就不必遵守《萨班斯-奥克斯利法案》。
压力不断增加的另一个方面就是,大型的业务合作伙伴提出了安全要求。顾问Reavis说: “关注供应链的大公司很担心风险,但把某个合作伙伴从供应链踢开却是行不通的。譬如说,Visa公司试图利用PCI数据安全计划,加强商家和支付处理方之间的安全。对中型公司来说,麻烦就在这里。”
当然,一些法规已经带来了积极影响。WellSpan是拥有两家医院、年收入约6.19亿美元的非盈利性医疗系统,该公司副总裁兼CIO Gillespie说,HIPAA(《健康保险可携性及责任性法案》)是促使IT部门获得安全和灾难恢复方面所需资金的主要动因。Gillespie手下有一名IT安全经理,他还间接向WellSpan的法规遵从主管汇报。这位经理手下有4名专职员工,他们的主要职责就是确保HIPAA认为是受保护健康信息的任何信息都不泄露出去。
这一切意味着,中型公司的信息安全部门将被迫奋力追赶规模更大的公司。事实上,Lewis采用的方法是,以规模大得多、资源多得多的盈利性组织作为Cambridge Health的衡量基准,而不是以其他地区性医院组织作为衡量基准。Lewis说: “看看有钱人做出的决策,并努力从中学习,这是件好事。”他指出,为此自己经常阅读行业刊物、与同行交流,并且参加像信息系统安全协会这类专业协会召开的会议。“我们仿效了银行和投资公司的做法,因为他们能承受更大的风险,努力从中学习。然后,我们根据现有的资源来面对现实,扪心自问: 我们可以在多大程度仿效一流金融公司的最佳做法?我们在努力向这个目标看齐。尽管这远远超出了我们的承受能力,但可以促使我们思考。”
