使用RUP管理法规遵循

【IT168 技术文章】

    本文来自于 Rational Edge：阅读本篇关于法规遵循（compliance）的概述，它被包含在软件开发与交付需求中。并从中学习 IBM Rational Compliance Management 策略，以帮助使业务满足这些需求。

　  法规遵循已经成为我们生活中的一部分。几乎所有的业务都会直接或间接的被标准与规定所影响。例如，在美国，所有业务必须符合 Occupational Safety & Health Administration (OSHA) 规定。

　  在 Sarbanes-Oxley、BASEL II，以及其它强制管理美国和国际商业的时代，执行遵从管理战略的理由日趋明显。首先，不能忽略关于法规、标准和政策的遵从，因为这是经营业务所必需的。 如不遵守，依据第三方审核，您的业务将会受到严厉惩罚。公司坚持通过审核的能力将最终确保遵从要求。为通过审核，您不但需要提供遵从的证据，而且这些证据必须容易获得和理解。 我们将这个称为"可审核的。"

　  为了创建并维护可审核的遵从证据，您需要适当的控制过程。因此企业的职责就是研究那些管理它们业务的规定、标准、和政策，以有效管理他们的投入。

　  最后，IBM Rational Compliance Management 策略能够帮助企业实现以下目标：

　  *软件周期中的强制性业务和技术的控制
　  *促进尽可能少的干扰性控制，以此作为最佳使用方式
　  *利用控制作为IT治理的基础
　  *提供业务优势机会

　  本篇文章涉及软件开发与交付法规遵循需求的概述，具体描述了使用IBM Rational Compliance Management策略帮助企业满足他们的需求。使用Rational Unifed Process?，或 RUP? ，以及特别为支持法规遵循管理的RUP环境所设计的插件（RUP for Compliance Management），可将这种策略传递至企业。

　  什么是法规遵循？

　  一般说来，法规遵循需要完全理解规定、政策，并完全理解满足性能、遵守程序性要求的意义。

　  规定、标准和政策

　  开展业务经常需要遵循许多规定。如图 1中所示的规定和标准。规定往往具有以下共同特征：

　  1.强制性： 监管当局可能要求资质和/或某种特定标准，并明确规定针对不符合要求的惩罚。
　  2.非指示性： 监管部门往往会定义要做什么，而不会指明如何做。
　  3.持续性变化：公司政策的规定可以在不同的时期经常性发生改变。
　  4.不断增加的IT影响： 少部分规定与IT直接相关，但正不断影响着IT系统。
　  5.非担保性： 代理商一般不赞成、推荐，或确认某种方案。
　  6.相关危害性: 监管机构推荐一种基于完全评估风险的方法，这种方法可以预先确认所有的风险。

　  这些特点提醒我们达到领域内的要求是复杂的，且需要不断进行管理。过程标准企图将当前良好系统实践与质量设计的基本体系作为业务操作的一部分。这种体系的集成从本质上说就是审核员和检查员在审核或视察过程中要做的。

　  图 1: 规定与标准的实例

　  为确定规定和管理遵从要求，执行官经常需要定义IT应用与过程中所执行的业务控制。在这一过程中，他们寻找那些可以为企业提供过程体系的标准，诸如集成的能力成熟度模型（Capability Maturity Model Integrated ，CMMI） 或 ISO 900x。通过执行这种体系结构，业务就可以执行这种过程，变更控制和测量可创建满足法律与规定（例如那些与FDA，SOX，HIPAA有关的）的控制类型的机制。实际上，大企业会执行各种体系的复合体，例如IT Infrastructure Library (ITIL) 和 Control Objectives for Information 和相关的技术(COBIT)。

　  法规遵循意味着什么？

　  在较高的层面上，法规遵循需求可分为两类：

　  *执行要求 证明了支持某种特殊政策的交付功能或执行任务的能力。例如，特殊的审核日志数据，或金融记录和相关政策的格式化命令。
　  *程序性要求 证明了坚持文档化的操作过程－－例如， "老板有责任适时确认职员的身份。"

　  企业依靠他们自己的法律顾问和风险官员理解规定，并将这种理解代入企业政策中，这就决定了在开展业务中对于控制的定义。