Infosecの標準と規制–入門書の分類コンプライアンス

公開: 2018-07-30

InfoSecの標準と規制を異なるグループに分類することは、最初はばかげているように聞こえるかもしれません。なぜなら、書面による一連のガイドラインとルールを実現することは、真面目な人々が実際に行うことではないからです。ただし、各カテゴリには、学生の個性を定義するのに役立つ一連の特性があります。実際、いくつかの異なるオンラインWebサイトでは、有名人、ゲーム・オブ・スローンズのキャラクター、および政治家がすでに独自のグループにグループ化されています。 InfoSecの標準と規制には個性が欠けていますが、それらを開発する組織には個性があります。

Infosecコンプライアンスには、他のコンプライアンスフィールドに属する厳密な階層はありません。場合によっては、Infosecの標準と規制は、ピアの提案とガイダンスの両方として機能します。それでも、顧客の注目が高まることで、この主題のかなりの部分が、収益の重要な販売面であるコンプライアンスにねじれています。それでも、このようなInfoSecの標準と規制をより広いガイドにまとめることで、絶えず変化するコンプライアンススペースの交渉に役立てることができます。

InfoSecの標準と規制の世界で決意、勇気、勇気を醸し出している組織に焦点を当てるには、世界のサイバーセキュリティを強化するためにセキュリティの責任を主導しているように見えるエンティティを調べる必要があります。それらが含まれます：

OWASP： Open Web Application Security Projectは、組織が信頼できるアプリケーションを運用、取得、開発、考案、および維持できるようにするオープンなグローバルコミュニティとして機能するために2001年に設立されました。より多くのリソースとより少ないコンプライアンスを予測しているにもかかわらず、OWASPは、メンバーにガイダンスを提供する業界革新の英雄的な努力のおかげで、このリストに載るに値します。さらに、それは、主要な目標が、より正式な組織によって設定された従来のコンプライアンス目標と主に重複している組織のようです。
NIST ：米国国立標準技術研究所としても知られるNISTは、評判の高いサイバーセキュリティフレームワークを無料で公開しています。 NIST800-53とCybersecurityFrameworkはどちらも、組織が自動的にお金を使うことなく、ベストプラクティスの整理を開始するための手法を提供するのに役立ちます。サイバーセキュリティを保護するために設計された米国国立標準技術研究所のWebサイトは、業界慣行、ガイドライン、および標準のグループであるFrameworkCoreを表すリファレンスツールを無料で提供しています。
英国のセキュリティポリシーフレームワーク：政府のセキュリティ専門家、国家安全保障および諜報機関、および英国内閣府は、政府資産の保護を支援するためにこの11ページの文書を公開しました。これには、個人のセキュリティ、保護マーキングと資産管理、ビジネスの継続性、テロ対策、情報セキュリティと保証、物理的セキュリティ、ガバナンス、リスク管理とコンプライアンスの主要な7つの領域に分類される20の必須要件が含まれます。
COBIT ：情報システム監査および制御協会は、情報関連技術の制御目標（COBIT）フレームワークの作成の背後にあります。この構造は、制御が適切にマッピングされていることを確認するために、技術的な問題とビジネス要件の間に存在するギャップを埋めるのに役立つツールとして機能します。重要なのは、COBITがプロセスベースのモデリングのツールとして機能することです。

さらに、このフレームワークは、企業の成長に必要な変更を評価するための成熟度モデルを提供します。これは、34のプロセスを、監視と評価、取得と実装、編成、および提供とサポートの4つの特定のドメインに分割することで実現されます。

ISO ：ISOまたは国際標準化機構は、最も頻繁に準拠し、認められている標準のいくつかを提供します。 ISO / IEC / 27000準拠とそれに関連する標準は、特にInfoSecの標準と規制に着手する人々にとっては料金をリードします。 ISOは、情報セキュリティの第一人者であり、その属性を利用して、印象的な野心を持った継続的な企業としての地位を確立しています。
HITRUST ：2007年に設立されたHealth Information Trust Alliance（HITRUST）は、患者情報の保護を支援します。そのモデルは、成熟度とリスクの両方に基づいて企業に適用できる、医療セクター全体のベースラインを構築することを目的としています。 HITRUSTはヘルスケア業界を評価し、リスクから始めてそのようなリスクへの対応として統制を構築するのではなく、特定のリスクのみがメンバーに発生する可能性があることを解決しました。そうすることで、そのモデルにより、HIPAAの対象となるエンティティは、Common SecurityFrameworkモデルを介してプログラムをカスタマイズできます。
HIPAA ：1996年の医療保険の相互運用性と説明責任（HIPAA）は、保健福祉長官に対し、個人を特定できる医療情報を保護することを目的としたプライバシー規制を実施するよう要請しました。さらに、HIPAAセキュリティ標準は、データの保護と管理を目的とした管理手順、情報へのアクセスを確認する技術的セキュリティサービス、および情報の不正な送信を回避する技術的セキュリティメカニズムを構築する規制要件をもたらします。コンピュータシステムに対する物理的な保護手段。
GDPR ：GDPRまたはEUの一般データ保護規則は、ガバナンスと説明責任を主要な指令の1つにすることで知られています。すべてのメンバーに適用されるルールの単一のコレクションを作成します。それにもかかわらず、EU居住者から引き出された欧州連合居住者からの情報収集に関与するデータ管理者に範囲を拡大します。これが意味することは、EUに所属していなくても、そのような方法でEU居住者情報を扱う組織は準拠する必要があるということです。 GDPRは、関連するデータの量を減らし、情報の使用目的を制限し、プライバシーの公平性、合法性、透明性を判断して、情報の整合性と機密性を強化し、組織が個人に保持するストレージの量を制限することを目指しています。
SOX ：Sarbanes-Oxley Act（SOX）は、企業のさまざまな不正報告への対応として2002年に制定されました。 SECは、SOXの懸念のほとんどに対処することに関しては立派な仕事をしていましたが、企業の貪欲さにより、いくつかの企業が法律に違反しました。 SOXは、虚偽の報告をした者に罰則を設けることにより、そのような企業に倫理を適用することを目指しています。さらに、SOX法第404条は、企業がIT環境を評価して、財務報告のリスク（内部または外部）があるかどうか、およびそれらに対処する手段があるかどうかを判断することを求めています。
PCI-DSS ：PCIまたはPayment Card Industry Security Standards Councilは、Visa、Mastercard、JCB International、Discover Financial Services、AmericanExpressなどのさまざまな金融機関によって組織されました。これは、特に電子システムを介して、情報セキュリティを促進する上で主要な役割を果たします。実際、PCIデータセキュリティ標準（PCI-DSS）は、すべての支払い処理業者だけでなく、すべての支払い処理業者のコンプライアンス標準として登場しました。さらに、ベンダーはリスクの範囲を判断するために状況を評価する必要があります。これにより、ベンダーはPCI-DSSに準拠できるようになります。
COSO ：証券取引委員会、または一般にSECとして知られている委員会は、不正な報告を精査するために1980年代に委員会を設立しました。その過程で、会計士と監査人の5つの支援組織がレビューに参加し、その結果、トレッドウェイ委員会（COSO）のスポンサー組織委員会が設立されました。 2013年後半に、主要な改訂が初期フレームワークに含まれました。

COSOの内部統制は、統制活動、統制環境、監視、情報通信、および統制活動の5つの相関要素を認識します。さらに、PricewaterhouseCoopersによって作成されたエンタープライズリスク管理-統合フレームワークには、戦略、レポート、運用、コンプライアンスのビジネス目標が含まれ、イベントの識別、監視、情報と管理、制御活動、リスク対応、目標設定、内部の8つのフレームワーク要素が含まれていました。環境、およびリスク評価。

Ken Lynchは、エンタープライズソフトウェアのスタートアップのベテランであり、労働者を仕事に駆り立てるものと、仕事をより魅力的にする方法に常に魅了されてきました。 ケンはまさにそれを追求するために相互主義を設立しました。 彼は、より社会的志向の企業市民を作成するために、従業員を会社のガバナンス、リスク、およびコンプライアンスの目標に関与させるというこのミッションベースの目標で、Reciprocityの成功を推進してきました。 ケンはMITでコンピュータサイエンスと電気工学の理学士号を取得しています。