法规遵从及规管架构

在监管框架内实现合规性是一个持续的过程. 你的环境总是在变化，控制的运行效率可能会崩溃. 定期监测和报告是必须的, 并且在每个框架中还概述了关于“定期监测”的具体内容的指导.

如果您与信息安全(IS)团队一起工作或属于该团队, 以下是你可能会遇到的一些监管框架:

萨班斯-奥克斯利法案(SOX)

• 它为什么存在?? 的 萨班斯-奥克斯利法案 2002年通过的法案旨在打击安然会计丑闻后的欺诈行为, 世通, 泰科影响了投资者的信任. 这些控制措施对上市公司是强制性的.
• 如果你在一个IS团队，这会对你有什么影响? 处理财务数据的应用程序和系统有各种安全需求. 访问管理方面的需求, 一般资讯科技管制(itgc), 实体级控制可能需要由信息系统团队管理.
• 什么样的组织会利用这个框架呢? 上市公司，或有意进行首次公开募股(IPO)的公司. 

PCI DSS

• 它为什么存在?? 支付卡行业数据安全标准(PCI DSS)，以保障持卡人资料的安全. 这些控制对于处理信用卡数据的组织是强制性的. 这些标准由多个层次组成, 您的组织与信用卡数据交互的程度将决定您的组织需要达到何种级别的PCI遵从性. 例如, 银行, 商人, 考虑到业务性质，服务提供商将被要求达到更高的标准.
• 如果你在一个IS团队，这会对你有什么影响? 除了根据您的PCI DSS级别强制执行某些程序和控制之外, 你可能需要完成自我评估问卷, 季度网络扫描, 现场独立安全审计. 
• 什么样的组织会利用这个框架呢? 商家、支付卡发卡银行、处理器、开发人员和其他供应商.

NIST

• 它为什么存在?? 与SOX不同，NIST不是一组单一的控件. NIST，或NIST 国家标准与技术研究所, 是商务部下属的一个涵盖制造业的联邦机构吗, 质量控制, 和安全, 等. 该机构与安全行业专家合作, 其他政府机构, 学者建立一套控制和平衡，以帮助关键基础设施的运营商管理网络安全风险. 今天, 许多组织利用NIST指南来管理和减少可能影响其环境和客户的风险. 不像其他框架, NIST是自愿的, 然而，客户在与您合作之前可能会要求某些控制措施到位.
• 如果你在一个IS团队，这会对你有什么影响? 如果你在一个利用NIST的组织的信息系统团队, 你将在识别中扮演重要角色, 定义, 并执行由标准控制的控制. 例如, 确定您的组织将如何处理漏洞扫描时, 您可以遵循NIST 800-53风险评估RA 5中概述的指导, 哪一个说明了扫描频率的最佳实践, 应该进行的扫描类型, 如何处理这些扫描的结果和更多.
• 什么样的组织会利用这个框架呢? 这通常是大型商业企业和政府机构的杠杆作用, 但对于任何对评估和减少网络风险感兴趣的组织来说，它都是一个有用的框架.

ssae

• 它为什么存在?? 关于鉴证业务准则的声明. 16 (ssae)监视和实施对影响财务报告的应用程序和应用程序基础设施的控制. 它涵盖了业务流程控制和It一般控制. 服务组织控制 (SOC) 1报告，以前称为SAS 70报告，利用ssae框架.
• 如果你在一个IS团队，这会对你有什么影响? ssae框架概述了许多通用最佳实践, 但它也是SOX合规流程的强制性部分. 在属于SOX的组织中(如上所述), 这包括上市公司或即将上市的公司), 特定的利益相关者将需要审查SOC 1报告，以查看任何被视为符合SOX的应用程序(通常这些是处理财务数据的应用程序)。. 在审阅了报告之后, 这些涉众将需要决定组织是否可以接受报告的任何相关风险.
• 什么样的组织会利用这个框架呢? 通常会得到SOC 1报告的公司类型, 或者提供用于处理财务信息的应用程序并最终影响财务报表的公司.

AT-101

• 它为什么存在?? SOC 2报告是基于 AT-101 审计标准. SOC 2报告测试安全的设计或操作有效性, 可用性, 处理完整性, 保密, 和/或隐私控制. 所有SOC 2报告都需要涵盖安全控制. 可用性, 处理完整性, 保密, 隐私控制是可选的原则，如果这些控制是提供服务不可或缺的一部分，公司可能会选择包括这些原则. AT-101 SOC 2报告基于信托服务原则, 哪些与上面列出的安全控制相关联.
• 如果你在一个IS团队，这会对你有什么影响? 查看来自其他组织的SOC 2报告可以揭示与他们合作如何将风险引入您的环境.
• 什么样的组织会利用这个框架呢? 软件即服务(SaaS)提供商, 云计算公司, 和其他技术相关服务的解决方案通常会获得SOC 2报告.

FedRAMP

• 它为什么存在?? FedRAMP 政府机构是否有一种标准化的方法来评估基于云的解决方案的风险. 它遵循“只做一次”的原则, 多次使用”的方法, 允许在多个机构之间重用现有的安全评估和包. 因为持续监控云产品和服务是框架的核心, 它可以提高组织的实时安全可见性.
• 如果你在一个IS团队，这会对你有什么影响? 如果你在政府机构工作, 您将使用FedRAMP包来决定利用特定的基于云的解决方案是否有意义.
• 什么样的组织会利用这个框架呢? 有兴趣向联邦政府机构销售云解决方案的供应商将通过FedRAMP认证过程.

国际标准化组织

• 它为什么存在?? ISO是一套国际标准. ISO中有不同的子框架, 与您的组织/行业最相关的子框架取决于您的目标. 例如, 制造组织可能会利用子框架ISO 9000, 因为这个框架中的控制集中在质量管理上. 希望改进信息安全管理体系流程的组织可以从ISO 27000概述的控制中获得更有用的指导. 有关ISO标准的更多信息以及哪些标准与您的组织最相关，请访问 ISO.org.
• 如果你在一个IS团队，这会对你有什么影响? 您的团队可以使用这个框架来改进和报告质量管理和安全性.
• 什么样的组织会利用这个框架呢? 任何组织, 无论是公共还是私人, 是否可以使用这个框架来改进和报告质量管理和安全.

隐私盾(取代美欧安全港)

• 它为什么存在?? 美欧安全港的建立是为了确保美国公司在向美国传输欧洲数据时遵守欧盟数据保护标准. 2015年，欧洲法院宣布该禁令无效, 与爱德华·斯诺登和美国国家安全局泄密事件有关. 的 私隐保护架构 是用来取代它的吗. 它的存在是为了保护或减轻数据在这两个地理区域之间传输时被篡改的风险. It enables US companies to more easily receive personal data from the EU under EU privacy laws meant to protect European citizens; this allows for a more free exchange of data, 哪个对商业有利.
• 什么样的组织会利用这个框架呢? 在欧盟和美国之间收集、存储或处理个人数据的组织. 美国公司可以自我证明，它们将遵守欧盟的数据保护标准，以便允许将欧洲的数据传输到美国.
• 如果你在一个IS团队，这会对你有什么影响? 您的团队可能会参与加入隐私保护框架的过程, 并实施相关控制.

HIPAA /高科技

• 它为什么存在?? HIPAA /高科技 加强安全性以保护个人健康信息(PHI).
• 什么样的组织会利用这个框架呢? 有谁在收集, 存储或处理个人健康信息(PHI), 包括医院, 医疗服务提供者, 保险公司.
• 如果你在一个IS团队，这会对你有什么影响? 如果你在收集这些信息, 你需要有适当的控制措施来确保它的安全.

这些只是您的组织可能需要遵守的一些遵从性和法规框架. 实现合规将是一个持续的过程, 但是，定期的监视和报告有助于使遵守这些框架(并维护安全的环境)成为业务操作的标准部分. 

阅读更多有关法规 & 合规

遵从性:来自博客的最新消息