法规遵从及规管架构

在监管框架内实现合规性是一个持续的过程. Your environment is always changing, 和 the operating effectiveness of a control may break down. 定期监测和报告是必须的, 和 guidance on exactly what “regular monitoring” entails is also outlined within each framework.

如果您与信息安全(IS)团队一起工作或属于该团队, 以下是你可能会遇到的一些监管框架:

萨班斯-奥克斯利法案(SOX)

• 它为什么存在?? 的 萨班斯-奥克斯利法案 2002年通过的法案旨在打击安然会计丑闻后的欺诈行为, 世通, 泰科影响了投资者的信任. 这些控制措施对上市公司是强制性的.
• 如果你在一个IS团队，这会对你有什么影响? 的re are various security requirements for applications 和 systems that process financial data. 访问管理方面的需求, 一般资讯科技管制(itgc), 实体级控制可能需要由信息系统团队管理.
• 什么样的组织会利用这个框架呢? 上市公司，或有意进行首次公开募股(IPO)的公司. 

PCI DSS

• 它为什么存在?? 支付卡行业数据安全标准(PCI DSS)，以保障持卡人资料的安全. 这些控制对于处理信用卡数据的组织是强制性的. 这些标准由多个层次组成, 和 the extent to which your organization interacts with credit card data will determine what level of PCI compliance your organization needs to achieve. 例如, 银行, 商人, 和 service providers will be held to higher st和ards given the nature of the business.
• 如果你在一个IS团队，这会对你有什么影响? 除了根据您的PCI DSS级别强制执行某些程序和控制之外, 你可能需要完成自我评估问卷, 季度网络扫描, 现场独立安全审计. 
• 什么样的组织会利用这个框架呢? 商家、支付卡发卡银行、处理器、开发人员和其他供应商.

NIST

• 它为什么存在?? 与SOX不同，NIST不是一组单一的控件. NIST，或NIST 国家标准与技术研究所, 是商务部下属的一个涵盖制造业的联邦机构吗, 质量控制, 和安全, 等. 该机构与安全行业专家合作, 其他政府机构, 和 academics to establish a set of controls 和 balances to help operators of critical infrastructure manage cybersecurity risk. 今天, many organizations leverage NIST guidelines to manage 和 reduce risks that could impact their environment 和 their customers. 不像其他框架, NIST是自愿的, however customers may require that some of the controls be in place before they will partner with you.
• 如果你在一个IS团队，这会对你有什么影响? 如果你在一个利用NIST的组织的信息系统团队, 你将在识别中扮演重要角色, 定义, 并执行由标准控制的控制. 例如, 确定您的组织将如何处理漏洞扫描时, 您可以遵循NIST 800-53风险评估RA 5中概述的指导, 哪一个说明了扫描频率的最佳实践, 应该进行的扫描类型, 如何处理这些扫描的结果和更多.
• 什么样的组织会利用这个框架呢? This is generally leveraged by large business enterprises 和 government agencies, but it can be a helpful framework for any organization interested in evaluating 和 reducing cyber risk.

ssae

• 它为什么存在?? 关于鉴证业务准则的声明. 16 (ssae) monitors 和 enforces controls around the applications 和 application infrastructure that impact financial reporting. 它涵盖了业务流程控制和It一般控制. 服务组织控制 (SOC) 1 reports, formerly known as SAS 70 reports, leverage the ssae framework.
• 如果你在一个IS团队，这会对你有什么影响? ssae框架概述了许多通用最佳实践, 但它也是SOX合规流程的强制性部分. 在属于SOX的组织中(如上所述), 这包括上市公司或即将上市的公司), specific stakeholders will need to review SOC 1 reports for any applications that are deemed in scope for SOX compliance (generally these are applications that processes financial data). 在审阅了报告之后, these stakeholders will need to decide if the organization can accept any associated risks that were reported.
• 什么样的组织会利用这个框架呢? 通常会得到SOC 1报告的公司类型, or companies that provide applications used to process financial information 和 that will ultimately affect financial statements.

AT-101

• 它为什么存在?? SOC 2报告是基于 AT-101 审计标准. SOC 2报告测试安全的设计或操作有效性, 可用性, 处理完整性, 保密, 和/或隐私控制. 所有SOC 2报告都需要涵盖安全控制. 可用性, 处理完整性, 保密, 和/或隐私控制 are optional principles that a company may opt to include if those controls are integral to providing a service. AT-101 SOC 2报告基于信托服务原则, 哪些与上面列出的安全控制相关联.
• 如果你在一个IS团队，这会对你有什么影响? Reviewing SOC 2 reports from other organizations can reveal how partnering with them could introduce risk into your environment.
• 什么样的组织会利用这个框架呢? 软件即服务(SaaS)提供商, 云计算公司, 和 other technology-related services will often get SOC 2 reports for their solutions.

FedRAMP

• 它为什么存在?? FedRAMP is a st和ardized way for government agencies to evaluate the risks of cloud-based solutions. 它遵循“只做一次”的原则, 多次使用”的方法, allowing existing security assessments 和 packages to be reused across multiple agencies. Since continuous monitoring of cloud products 和 services is at the core of the framework, 它可以提高组织的实时安全可见性.
• 如果你在一个IS团队，这会对你有什么影响? 如果你在政府机构工作, you will use FedRAMP packages to decide whether it makes sense to leverage specific cloud-based solutions.
• 什么样的组织会利用这个框架呢? Cloud solution providers interested in selling to federal government agencies will go through the FedRAMP certification process.

国际标准化组织

• 它为什么存在?? ISO是一套国际标准. ISO中有不同的子框架, 和 the sub-framework that is most relevant to your organization/industry depends on your goals. 例如, a manufacturing organization would be likely to leverage the sub-framework ISO 9000, 因为这个框架中的控制集中在质量管理上. An organization looking to 改善流程 around information security management systems would derive more helpful guidance from the controls outlined in ISO 27000. For more on the ISO st和ards 和 which ones are most relevant to your organization, visit ISO.org.
• 如果你在一个IS团队，这会对你有什么影响? Your team may use this framework to improve 和 report on quality management 和安全.
• 什么样的组织会利用这个框架呢? 任何组织, 无论是公共还是私人, could use this framework to improve 和 report on quality management 和安全.

隐私盾(取代美欧安全港)

• 它为什么存在?? US-EU Safe Harbor was created to ensure US companies complied with European Union data protection st和ards when transferring European data to the 状态s. 2015年，欧洲法院宣布该禁令无效, 与爱德华·斯诺登和美国国家安全局泄密事件有关. 的 私隐保护架构 是用来取代它的吗. It exists to safeguard or mitigate the risk of data being tampered with while it’s transferred between these two geographic regions. It enables US companies to more easily receive personal data from the EU under EU privacy laws meant to protect European citizens; this allows for a more free exchange of data, 哪个对商业有利.
• 什么样的组织会利用这个框架呢? Organizations collecting, storing or processing personal data between the EU 和 US. US companies can self-certify that they will comply with EU data protection st和ards in order to allow for transfer of European data to the US.
• 如果你在一个IS团队，这会对你有什么影响? 您的团队可能会参与加入隐私保护框架的过程, 并实施相关控制.

HIPAA /高科技

• 它为什么存在?? HIPAA /高科技 加强安全性以保护个人健康信息(PHI).
• 什么样的组织会利用这个框架呢? 有谁在收集, 存储或处理个人健康信息(PHI), 包括医院, 医疗服务提供者, 保险公司.
• 如果你在一个IS团队，这会对你有什么影响? 如果你在收集这些信息, 你需要有适当的控制措施来确保它的安全.

的se are only some of the compliance 和 regulatory frameworks your organization may need to adhere to. 实现合规将是一个持续的过程, but regular monitoring 和 reporting can help make adhering to these frameworks (和 maintaining a secure environment) a st和ard part of business operations. 

阅读更多有关法规 & 合规

遵从性:来自博客的最新消息