問：我需要按照一套已有的規(guī)定完成一個現(xiàn)有架構的差距分析。目標是找到差距，解決這些問題，從而使基礎架構達到中期總結(jié)報告的標準。你可以幫助我做這件事嗎，第一步該從哪開端呢?

答：我的第一個問題是：你所提到的已有的規(guī)定是什么？是PCI DSS、HIPAA、NERC CIP還是ISO 27001/2？

一旦明白了你需要滿足的規(guī)定，你就可以進行一個簡略的清單差距分析。下面是幾種建立和獲取系統(tǒng)架構審查清單的方法：

例如，可以將支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS）的自我評估問卷作為一個起點。對于HIPAA合規(guī)，可以在網(wǎng)上找到各種組織供給的現(xiàn)成清單，比如NIST清單。對于NERC CIP，我發(fā)明，只要你進行逐項條款而不是逐段條款，他們的標準——與可靠性標準審計工作表（RSAW）一起——可以作為一個相當體面的清單應用。

如果我沒有列出與您的組織規(guī)范相符合的標準，您可以在互聯(lián)網(wǎng)上搜索清單，也可根據(jù)你所關注的標準建立你自己的清單（下面將詳細講述）。

對于應用清單，我有如下建議：匯集了關于這個問題的內(nèi)部專家（如類似你情況的網(wǎng)絡架構人員）嘗試過的標準，并斷定以下內(nèi)容：

1．目前的架構是否符合請求規(guī)定？

2．你能遵照這個規(guī)定嗎？

3．如果不符合請求，需要采用哪些舉動來達到合規(guī)呢？

這個初步清單/標準最好的審查方法是應用類似SharePoint的協(xié)作工具。在小組審查請求時，你可以跟蹤合規(guī)評估，收集和發(fā)布能夠證明合規(guī)的文件以及后期舉動項目（包含義務和截止日期）。

最后，一個可能會呈現(xiàn)的問題是：“如果我沒有任何可用的清單該怎么辦？”在這種情況下，你需要做大批的工作，你需要瀏覽標準和詳細研究滿足每一個請求的可能性，這樣來建立清單。在過去，我已經(jīng)這樣做了，而且實際上，我采用了審計人員的做法：首先按照一個特定標準規(guī)定的請求建立一個問題清單，然后讓自己和內(nèi)部團隊成員去檢測清單是否符合標準請求。這樣做可能開端有點慢，但到最后你會完整懂得標準的細節(jié)。