美国加州Network Frontiers公司的创始人兼首席执行官Dorian Cougias表示，今年审查方将严格执行这些法律要求。他说：“现在人们只是按照规则规定地做，我们有足够多的规则，让我们将这些‘你必须遵守的’规则与那些可能被采用来确保实施的规则结合起来吧。”

有技术和政府策略专家认为，虚拟化和简化架构管理将是2009年法规遵从领域的热点话题。执法检查者将要求那些迁移到虚拟化环境中的企业机构证明，这些虚拟系统和物理系统一样安全可靠。审查者将开始要求企业机构提交相关文件和材料证明，在简化架构管理过程中遵循了最近两年刚刚颁布的相关法律原则，尤其是在当前经济衰退的时期。

虚拟化在法规遵从领域扮演的角色

虚拟化正在改变着IT和存储网络处理（包括实现法规遵从目标）的方式。考查、确保和证明虚拟系统和物理系统同样安全，这将成为那些希望利用虚拟化技术节约成本和资源的企业一个大难题。

Cougias表示：“我们看到了虚拟化技术在SAN存储、虚拟机应用和全局文件虚拟化方面的诸多优点，它能够帮助企业机构将重点放在确保这些虚拟应用从一个法规遵从的应用中迁移出来，经过法规遵从的数据网络、法规遵从的SAN交换机、法规遵从的SAN设备和法规遵从的文件系统。”

对于虚拟系统的疑问有很多：谁应该对虚拟系统负责？虚拟系统从架构之初就应该是符合法规遵从要求的吗？

Cougias认为，最后一个问题的答案是肯定的。他说：“在一个虚拟化环境中，如果存储系统从一开始就无法直接与应用配合运行的话，你可能在开始之前就会感到找不到头绪。”

系统安全厂商NetIQ高级产品营销经理Geoff Webb表示，过去几年，存储管理者一直在试图解决虚拟机问题，而现在轮到法规遵从管理者了。

他说：“在这个领域有这样或者那样的疑问和答案。作为推动虚拟化继续向前发展的动力，安全和法规遵从将上演一幕‘拉锯战’。”

法规遵从的架构和审核

Cougias表示，未来两年将有两项遵循2007年和2008年规则的措施。

Cougias表示：“所以，2009年将是一个在2007年和2008年基础上展开法规遵从架构管理和审核的一年。接下来2010年将是变更管理——监控和确保架构系统正常运行的一年。”

NetIQ的Webb和该公司高级产品经理Chan Yoon表示，统一法规遵从映射和自动化将对架构管理起到促进作用。

统一法规遵从映射就好比是雅虎翻译工具Babel Fish——将晦涩的法规条例翻译成IT专业人员能读懂的句子。这也被称为公共控制（Common Controls），告诉你哪些控制手段符合多个法规遵从要求。

在目前多达500多项影响IT运营的法律规定（其中包括成千上万页的立法材料）中，有大约2500向专门的公共控制措施。

Cougias非常有名的UCF映射系统是一个包括了所有法规文件条例和相关技术控制的电子表格系统。它以IT的口吻建议企业机构应该怎么做来满足法规遵从要求，以及实施哪些其他控制措施满足更多要求。Cougias表示：“UCF系统的巧妙之处就在于87%的控制措施都是相互交叠的。即使2009年出现一些新措施，你也不用担心，只需要在审核过程中呈现出来就可以了。”

有了UCF和它的支持资源，你可以决定如何做来满足法规遵从要求，以及如何在符合一项要求的同时还可能符合其他法规要求。

自动化技术的出现

架构管理自动化将是2009年出现的另一个帮助IT管理者解决法规遵从难题的工具。Cougias表示：“我们将在2009年看到、同时也是厂商一直询问的是，如何利用公共控制工具？如何用它来生成一份对审查者有价值的文件？”

IT Policy Compliance Group USA是一家专门提供研究结果和数据信息帮助IT安全专家满足策略和法规遵从目标的行业机构。该机构的管理总监Jim Hurley表示，自动化可能是企业机构满足法规要求和维持业务运作的唯一途径。

Hurley表示：“如果企业机构继续手动完成所有工作，那么他们将会把过多的开支浪费在满足法规遵从目标上。如果他们开始将一些流程实现自动化，针对策略对这些流程进行测试，或者接受审查者的建议保持他们的控制措施和文件记录，那么他们将一切OK。你不可能将员工安排的流程中的每个细节，实现这种流程自动化是有必要的。”

将统一法规遵从映射和自动化结合起来是一个关键点。Cougias表示：“就是在这个过程中，你可以真真切切地节约成本；你可以实现流程自动化，只布置很少甚至完全不需要技术人员；你可能将成为CFO的最好朋友。”

法律法规在全球范围内推行

Hurley表示，未来几年我们将看到有关风险管理的标准化在全球范围内推行开来。他说：“就我所知，这将是一个在全球范围内倍受关注的趋势。这不仅仅会在纽约、香港或者其他金融中心推广开来，而且会蔓延到全球各个角落。”

Hurley还表示，未来应该更加关注IT部门、财务部门以及审核部门之间存在的分歧和隔阂，尤其是当巴塞尔银行监管委员会（BCBS）出台了一些新银行法规的时候。“这将在未来三年内对TI行业产生重大影响。”Hurlye如是说道。

与不那么受欢迎的行政部门不同的是，政府法规不会退出人们的视线。像《2002年萨班斯-奥克斯利法案》和《健康保险便利及责任法案》这些广为人知的立法将愈加凸显其重要性。采用一个可靠的政府风险和法规遵从管理解决方案就让你安全地远离政府调查、节约成本、甚至取代你的工作……。【WatchStor独家译稿，未经许可禁止转载。合作伙伴请注明原作者及出处为WatchStor.com】