问：为所有员工和系统执行员工访问审查（access review）的最有效方式是什么？有没有简化这种行为的可用的良好的模板或工具？

　　答：审查所有员工的访问不只是IT安全的最佳实践，还是遵从萨班斯?奥克斯利法案（Sarbanes-Oxley Act，SOX）和HIPAA(Health Insurance Portability and Accountability Act) 法案的要求。

　　如果没有这样的审查，很久以前离开公司的员工，不管是主动离开的，还是别的原因离开的，他们仍然可以访问关键系统。这是一项严重的安全风险。另外，随着现有的员工在公司中的移动，改变工作角色，对他们访问的要求也应该相应的改变。特别是，他们不能再可以访问已经不需要访问的系统。

　　用户访问的定期审计还可以阻止“访问蔓延（access creep）”。访问蔓延是当员工改变工作后，他们的访问权比需要的更大的现象。

　　访问审查的第一条规则是具备中央访问管理系统。大多数公司都使用标准的目录服务，例如Windows的Active Directory和Unix的LDAP。虽然这些服务提供很多的功能，还可以做一些报告，但是这些可能还不够。如果一个公司需要为审计员和调整人员产生定期报告，还需要更多的功能。

　　市场上有很多高质量的认证管理产品，比传统的访问管理功能强大，而且提供了报告和审计共能。BMC Software有一套认证管理产品，例如BMC 审计和法规遵从管理（BMC Audit Compliance Management）、BMC认证法规遵从管理5.5（BMC Identity Compliance Manager 5.5 ）。这两种产品为法规遵从的目的提供了用户化报告功能，不仅可以限制水可以访问什么，在什么层次，而且可以依据公司的IT安全策略限制访问权限。

　　其他提供相似的报告和审计功能的产品还包括CA Inc.的认证管理和委任权限安全管理（Identity Manager and Entrust Authority Security Manager）。很多公司都提供认证管理产品。不管你选择哪一个，都要确认它具备中央审计和报告功能。