雖然GRC具有很高的復(fù)雜性，但還是有很多組織依然在用“豎井”方式(即孤立的、不與他人聯(lián)系的方式)在管理風(fēng)險(xiǎn)?？墒?，每個(gè)項(xiàng)目都有不同的方法和解決方案，這就導(dǎo)致了不同項(xiàng)目之間存在著一定的矛盾。如果對(duì)于風(fēng)險(xiǎn)和規(guī)范的認(rèn)識(shí)不到位的話，將會(huì)阻礙決策的制定，另外可能還會(huì)因?yàn)橹貜?fù)性工作導(dǎo)致預(yù)算的超支。

　　然而，隨著越來(lái)越多的違規(guī)事件被目標(biāo)組織之外的同行揭露，發(fā)現(xiàn)一個(gè)數(shù)據(jù)外泄事件的平均時(shí)間還在繼續(xù)延長(zhǎng)。與此同時(shí)，先進(jìn)的網(wǎng)絡(luò)攻擊也擴(kuò)大了攻擊范圍，已經(jīng)超越了一般的黑客，我們知道，黑客僅僅是為了財(cái)務(wù)收益而作為網(wǎng)絡(luò)間諜，來(lái)竊取知識(shí)產(chǎn)權(quán)或內(nèi)幕消息。

　　可不幸的是，網(wǎng)絡(luò)攻擊的目標(biāo)是所有的組織，不僅僅是政府、軍隊(duì)和高效益的公司。因此，對(duì)于那些缺少防范工具、人員和遠(yuǎn)見(jiàn)性的公司來(lái)說(shuō)，要發(fā)現(xiàn)、分析或組織、、阻止IT安全漏洞，實(shí)現(xiàn)GRC管理，這的確是個(gè)噩夢(mèng)。

　　在這兩方面，岱凱和Check Point軟件技術(shù)這兩家公司已經(jīng)合作開(kāi)發(fā)出了一個(gè)GRC方案，把IT安全和規(guī)范一體化。

　　據(jù)Gartner調(diào)查，面對(duì)任何一項(xiàng)管理挑戰(zhàn)，選擇個(gè)性化解決方案的公司，與那些具有前瞻性、使用綜合解決方案的公司相比，將多花費(fèi)10倍的開(kāi)銷(xiāo)。

　　規(guī)范性應(yīng)該是風(fēng)險(xiǎn)管理的產(chǎn)物，而不是通常而言的規(guī)范要求。Gartner的研究總監(jiān)約翰惠勒說(shuō)：“首席信息官必須要避免成為規(guī)則的追隨者，不能讓規(guī)范支配商業(yè)決策，在解決企業(yè)面臨的嚴(yán)重威脅時(shí)，要主動(dòng)成為風(fēng)險(xiǎn)領(lǐng)導(dǎo)者”。

　　以下就是采取這種方法需要注意的幾點(diǎn)：

　　1.把利益相關(guān)者和組織架構(gòu)統(tǒng)一起來(lái)

　　IT安全是企業(yè)戰(zhàn)略和經(jīng)營(yíng)目標(biāo)中不可分割的部分，Check Point公司已經(jīng)明確了管理多個(gè)GRC進(jìn)程，也稱之為“GRC模型”的關(guān)鍵步驟，這些步驟包括建立一個(gè)統(tǒng)一的組織架構(gòu)，使得由于錯(cuò)誤的風(fēng)險(xiǎn)和控制計(jì)算而產(chǎn)生的錯(cuò)誤評(píng)估值降到最低。同時(shí)，GRC項(xiàng)目研究小組應(yīng)該對(duì)利益相關(guān)者進(jìn)行一下整合，包括終端用戶。另外，關(guān)鍵的利益相關(guān)者應(yīng)該從高層管理部門(mén)那里獲得支持，當(dāng)實(shí)施GRC軟件時(shí)，也應(yīng)該咨詢一下這些利益相關(guān)者。

　　2.保證通信暢通，并鼓勵(lì)參與

　　定義一個(gè)共同的GRC術(shù)語(yǔ)，那樣的話熟悉組織業(yè)務(wù)的GRC團(tuán)隊(duì)就能有效建立和交流實(shí)施措施。此外，風(fēng)險(xiǎn)和規(guī)范的參與者應(yīng)該是友好的、有幫助的。比如，在GRC評(píng)測(cè)期間，岱凱的GRC服務(wù)通過(guò)使用基于度量的業(yè)務(wù)語(yǔ)言，加強(qiáng)了所有利益相關(guān)者之間的交流，員工也從中獲得了很有用的信息。

　　3.制定一個(gè)目標(biāo)確定的計(jì)劃

　　在自己所處的位置上進(jìn)行風(fēng)險(xiǎn)評(píng)估，來(lái)確定當(dāng)前和未來(lái)的GRC需求，岱凱公司的GRC評(píng)估服務(wù)幫助組織回顧現(xiàn)存的處理策略，明確關(guān)鍵的風(fēng)險(xiǎn)、資產(chǎn)和缺口，建立IP風(fēng)險(xiǎn)與合規(guī)指標(biāo)。我們相信該服務(wù)的成功指日可待，這個(gè)指標(biāo)可以用來(lái)明確當(dāng)前的安全規(guī)范水平，還有未來(lái)所期望達(dá)到的高度;讓IT安全伴隨著整個(gè)組織，發(fā)現(xiàn)技術(shù)部署上、活動(dòng)進(jìn)程上和安全控制上以及其他的收益活動(dòng)上的矛盾。

　　4.實(shí)用和具有效益的改進(jìn)計(jì)劃

　　在評(píng)估和分析完風(fēng)險(xiǎn)之后，要根據(jù)GRC孰輕孰重來(lái)實(shí)現(xiàn)近期和長(zhǎng)期的目標(biāo)。岱凱公司采取了成本效益和戰(zhàn)略風(fēng)險(xiǎn)評(píng)估策略，考慮固有風(fēng)險(xiǎn)而進(jìn)行選擇性投資。對(duì)核心的業(yè)務(wù)流程有一個(gè)比較全面的了解，這將有助于一個(gè)組織把現(xiàn)有的政策轉(zhuǎn)化為規(guī)則、參考，甚至是標(biāo)準(zhǔn)，并確定現(xiàn)有的控件和框架，以便重復(fù)使用在新的工作中。此外，計(jì)劃未來(lái)變化也是為了實(shí)現(xiàn)安全目標(biāo)。

　　5.流線型風(fēng)險(xiǎn)和控制

　　為了避免不必要的風(fēng)險(xiǎn)和控制開(kāi)銷(xiāo)，GRC團(tuán)隊(duì)需要理解風(fēng)險(xiǎn)和控制之間的多對(duì)多關(guān)系，明確那些與條規(guī)共享的風(fēng)險(xiǎn)和控制獨(dú)有的屬性特征。通過(guò)識(shí)別風(fēng)險(xiǎn)、控件與GRC進(jìn)程間控件的依賴關(guān)系、鏈接和多級(jí)層次結(jié)構(gòu)，來(lái)盡量減少控件的重復(fù)性工作。不同進(jìn)程之間的信息共享也將在系統(tǒng)和定位件之間形成最佳實(shí)踐標(biāo)準(zhǔn)。

　　岱凱公司在GRC審計(jì)中，完成了在所有的利益相關(guān)者之間有效實(shí)現(xiàn)工作流程的自動(dòng)化。其間，利益相關(guān)者能夠意識(shí)到威脅，并申請(qǐng)使用公用語(yǔ)言來(lái)描述這些缺陷，然后評(píng)估商業(yè)影響力和響應(yīng)度，把任務(wù)合理分配給個(gè)人或團(tuán)隊(duì)，并且監(jiān)視任務(wù)的完成。最后還要跨團(tuán)隊(duì)、商業(yè)領(lǐng)域和地理位置，來(lái)分享知識(shí)經(jīng)驗(yàn)，讓風(fēng)險(xiǎn)和規(guī)范活動(dòng)清晰化。