科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道产业观察eGRC战略及协作是应对隐私和风险挑战的关键

eGRC战略及协作是应对隐私和风险挑战的关键

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

新的市场研究显示,企业在实现eGRC目标方面面临挑战;在实现eGRC目标方面,缺乏eGRC战略和协作是企业面临的最大障碍;近90%的企业认为,要实现eGRC目标,驱动性的技术必不可少。

来源:ZDNet软件频道 2011年5月27日

关键字: EMC 解决方案

  • 评论
  • 分享微博
  • 分享邮件

ZDNet至顶网软件频道消息 5月25日,全球信息基础架构解决方案的领导者EMC和隐私、数据保护及信息安全研究的领导者Ponemon Institute公布了一项市场调查结果,该市调项目研究了在应对隐私和风险挑战方面,全球企业面临的最紧迫问题。参与调查的人代表全球金融服务、科技、卫生保健和制药行业的企业,他们认为,要应多这些挑战面临的最大障碍是,企业缺乏明确定义的治理、风险和法规遵从(eGRC)战略,同时缺乏有关eGRC的协作。

缺乏共同的eGRC战略

逾6000名eGRC从业人员参与了Ponemon Institute的市场调查,结果表明,eGRC一直是最高管理层最重视的工作,但是只有20%的企业有明确定义的、涵盖整个企业的eGRC战略,33%的企业承认,根本没有制定eGRC战略。

EMC顾问咨询部首席运营官Tom Roloff表示:"要采用一种涵盖整个企业的治理、抗风险和法规遵从方法来管理信息,明确信息对IT、法律、人力资源等企业所有部门的影响,这已经不再是一种选择,而是必须采取的、迫在眉睫的战略行动。只有整合和集中管理方方面面的信息源,并采取必要的策略,企业才能实施整合的、集中的风险及法规遵从战略,满足公司董事会和监管机构日益严格的要求。"

缺乏协作

此次市场调查还显示,尽管eGRC责任正在从IT部门快速分散到运营、财务和法律部门,但是相比之下,这些关键部门之间的协作却滞后了。仅有28%参与调查的人表示,他们所在企业在eGRC牵涉到的部门之间有频繁协作,而12%的人承认,他们所在公司的eGRC职能部门仍然是各自为政的。

eGRC活动达到了怎样的分散程度?Ponemon Institute的调查报告显示,尽管治理活动仍然主要集中于IT部门,但是风险管理活动通常由相关部门控制。类似地,法规遵从活动一般由企业的法规遵从职能部门负责,而隐私和数据保护管理则主要归于法律部门。至于这些基本的eGRC活动的相对重要性,32%认为风险管理排在第一位,接下来是法规遵从(27%)、治理(22%)、隐私和数据保护(20%)。

Ponemon Institute创始人、董事会主席Larry Ponemon表示:"各自为政是有效实施eGRC项目的大敌。各个职能部门围绕各项策略、业务流程和多种法规处理有关信息和业务流程。不幸的是,他们互无沟通,这导致大量浪费和不一致的行动。没有职能部门之间的协作,企业就会处于风险之中。"

隐私成为eGRC协作的触发点

不管来自哪个行业,所有参与调查的企业都表示,需要按地域管理隐私法规的遵从工作,并遵守国家或地方法律,因此企业需要采取一种整合式方法来支持IT、法律、运营和财务部门。参与调查的人表示,两个最大的隐私挑战是:1)确保与第三方共享的数据仍然安全;2)符合所有适用的法规要求。

Ponemon表示:"隐私和数据保护是尤其迫切的问题。今天,这些不可或缺的隐私管理责任一般落在法律和IT部门头上。尽管法律部门在隐私保护方面所起作用占主导地位,但IT部门仍然有责任实施控制,以满足隐私保护法规的要求。因此人们能明白,为什么IT部门和法律部门需要有共同的看法,必须前所未有地紧密协作,才能降低企业风险。"

企业内的协作

US Bank首席隐私官兼供应商风险管理总监Dan Burks表示:"这项市场调查突出显示,协作既是关键需求,也是复杂企业环境中日益凸显的关注点。让职能部门就eGRC充分交流与协作,有助于确保eGRC项目取得成功。培养每个业务部的风险'大使',有助于实现企业内的协作。"

EMC信息治理解决方案部总经理Jeff Bettencourt表示:"对于受到严格监管和容易发生讼争的行业来说,策略管理、紧急响应和法规遵从监控是至关重要的。不过这类行业以外的企业往往忽视日常的业务风险,如电子邮件通信、员工提起诉讼等风险。企业如果能真正理解职能部门相互依赖的重要性,并在策略、流程和技术之间取得一致,就能更全面地了解情况并提高控制能力,进而更有效地控制整个企业的风险。这种能力有可能成为关键的竞争优势。"

展望未来,近90%参与调查的人认为,要实现eGRC目标,技术是不可或缺,或者非常重要的。为方便eGRC相关活动而最有可能采用的应用包括:风险评估(81%)、策略管理(75%)、控制评估(73%)、意外响应与管理(68%)、法规遵从监控(63%)。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章