มาตรฐานและข้อบังคับของ Infosec – การปฏิบัติตามข้อกำหนดในการคัดแยกไพรเมอร์

การจัดหมวดหมู่มาตรฐานและระเบียบข้อบังคับของ InfoSec ออกเป็นกลุ่มต่างๆ อาจฟังดูงี่เง่าในตอนแรก เนื่องจากการนำแนวทางและกฎเกณฑ์ที่เขียนเป็นลายลักษณ์อักษรมาสู่ชีวิตไม่ใช่สิ่งที่คนจริงจังทำจริงๆ อย่างไรก็ตาม แต่ละหมวดหมู่มีชุดคุณลักษณะที่ช่วยในการกำหนดบุคลิกของนักเรียน ในความเป็นจริง เว็บไซต์ออนไลน์หลายแห่งได้จัดกลุ่มคนดัง ตัวละครจาก Game of Thrones และนักการเมืองเข้าเป็นกลุ่มของพวกเขาแล้ว แม้ว่ามาตรฐานและข้อบังคับของ InfoSec จะขาดบุคลิกลักษณะเฉพาะ แต่องค์กรที่พัฒนามาตรฐานเหล่านั้นกลับมี

การปฏิบัติตามข้อกำหนดของ Infosec ไม่มีลำดับชั้นที่เข้มงวดซึ่งเป็นของฟิลด์การปฏิบัติตามข้อกำหนดอื่นๆ ในบางกรณี มาตรฐานและข้อบังคับของ Infosec เป็นทั้งข้อเสนอแนะและคำแนะนำจากเพื่อน ถึงกระนั้น ความสนใจของลูกค้าที่เพิ่มขึ้นได้บิดเบือนส่วนสำคัญของเรื่องนี้ไปในการปฏิบัติตามข้อกำหนดซึ่งเป็นลักษณะการขายที่สำคัญสำหรับรายได้ อย่างไรก็ตาม การจัดมาตรฐานและข้อบังคับของ InfoSec ให้เป็นแนวทางที่กว้างขึ้นสามารถช่วยในการเจรจาเกี่ยวกับพื้นที่การปฏิบัติตามข้อกำหนดที่เปลี่ยนแปลงตลอดเวลา

การมุ่งเน้นไปที่องค์กรที่มีความมุ่งมั่น ความกล้าหาญ และความกล้าหาญในมาตรฐานและระเบียบข้อบังคับของ InfoSec ทั่วโลก รวมถึงการมองหาหน่วยงานที่ดูเหมือนจะเป็นหัวหอกในการรักษาความปลอดภัยเพื่อเพิ่มความปลอดภัยในโลกไซเบอร์ พวกเขารวมถึง:

• OWASP: โครงการ Open Web Application Security ก่อตั้งขึ้นเมื่อปี 2544 เพื่อดำเนินการในฐานะชุมชนเปิดระดับโลกที่ช่วยให้องค์กรต่างๆ ดำเนินการ ได้รับ พัฒนา ตั้งครรภ์ และรักษาแอปพลิเคชันที่เชื่อถือได้ แม้ว่าจะมีโครงการทรัพยากรมากขึ้นและการปฏิบัติตามข้อกำหนดน้อยลง แต่ OWASP ก็สมควรได้รับตำแหน่งในรายการนี้ด้วยความพยายามอย่างกล้าหาญในการสร้างสรรค์นวัตกรรมในอุตสาหกรรมซึ่งให้คำแนะนำแก่สมาชิก นอกจากนี้ ดูเหมือนว่าจะเป็นองค์กรที่มีเป้าหมายหลักทับซ้อนกับวัตถุประสงค์ในการปฏิบัติตามกฎเกณฑ์แบบดั้งเดิมซึ่งจัดโดยองค์กรที่มีความเป็นทางการมากกว่า
• NIST : หรือที่รู้จักกันในนามสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ NIST เผยแพร่กรอบการรักษาความปลอดภัยทางไซเบอร์ที่ได้รับความเชื่อถือโดยไม่มีค่าใช้จ่าย ทั้ง NIST 800-53 และ Cybersecurity Framework ช่วยให้องค์กรมีเทคนิคในการเริ่มจัดระเบียบแนวปฏิบัติที่ดีที่สุดโดยไม่ต้องใช้เงินโดยอัตโนมัติ เว็บไซต์ของ National Institute of Standards and Technology ได้รับการออกแบบมาเพื่อปกป้องความปลอดภัยทางไซเบอร์ มีเครื่องมืออ้างอิงฟรี ซึ่งเป็นตัวแทนของ Framework Core ซึ่งเป็นกลุ่มแนวปฏิบัติในอุตสาหกรรม แนวทาง และมาตรฐาน
• กรอบนโยบายด้านความปลอดภัยของสหราชอาณาจักร : หน่วยงานด้านความมั่นคงของรัฐบาล ความมั่นคงและข่าวกรองแห่งชาติ และสำนักงานคณะรัฐมนตรีของสหราชอาณาจักร ได้เผยแพร่เอกสาร 11 หน้านี้เพื่อช่วยในแนวทางการปกป้องทรัพย์สินของรัฐบาล ประกอบด้วยข้อกำหนดบังคับ 20 ข้อที่จัดประเภทเป็น 7 ประเด็นหลักในการรักษาความปลอดภัยส่วนบุคคล การทำเครื่องหมายเพื่อการป้องกันและการควบคุมทรัพย์สิน ความต่อเนื่องทางธุรกิจ การต่อต้านการก่อการร้าย การรักษาความปลอดภัยของข้อมูลและการประกัน ความปลอดภัยทางกายภาพ และการกำกับดูแล การจัดการความเสี่ยงและการปฏิบัติตามข้อกำหนด
• COBIT : สมาคมการตรวจสอบและควบคุมระบบสารสนเทศอยู่เบื้องหลังการสร้างกรอบวัตถุประสงค์การควบคุมสำหรับเทคโนโลยีสารสนเทศที่เกี่ยวข้อง (COBIT) โครงสร้างนี้ทำหน้าที่เป็นเครื่องมือที่ช่วยในการเชื่อมช่องว่างระหว่างปัญหาทางเทคนิคและข้อกำหนดทางธุรกิจในการประมูล เพื่อให้แน่ใจว่าการควบคุมนั้นได้รับการแมปอย่างเหมาะสม ที่สำคัญ COBIT ทำหน้าที่เป็นเครื่องมือสำหรับการสร้างแบบจำลองตามกระบวนการ

ยิ่งไปกว่านั้น กรอบงานยังให้รูปแบบการเติบโตเต็มที่สำหรับการประเมินการเปลี่ยนแปลงที่จำเป็นเมื่อองค์กรเติบโต มันทำสิ่งนี้ผ่านการแบ่งกระบวนการสามสิบสี่กระบวนการออกเป็นสี่โดเมนเฉพาะของการตรวจสอบและประเมินผล การจัดหาและการนำไปใช้ การจัดองค์กร และการส่งมอบและการสนับสนุน

• ISO : ISO หรือองค์การระหว่างประเทศเพื่อการมาตรฐานมอบมาตรฐานที่ปฏิบัติตามและเป็นที่ยอมรับบ่อยที่สุด การปฏิบัติตามข้อกำหนด ISO/IEC/27000 ร่วมกับมาตรฐานที่เกี่ยวข้องทำให้เกิดค่าใช้จ่าย โดยเฉพาะอย่างยิ่งสำหรับผู้ที่เริ่มดำเนินการในมาตรฐานและข้อบังคับของ InfoSec ในฐานะที่เป็นผู้เชี่ยวชาญระดับแนวหน้าในด้านการรักษาความปลอดภัยข้อมูล ISO ได้ควบคุมคุณลักษณะดังกล่าวเพื่อนำเสนอตัวเองในฐานะองค์กรต่อเนื่องที่มีความทะเยอทะยานที่น่าประทับใจ
• HITRUST : Health Information Trust Alliance (HITRUST) ก่อตั้งขึ้นเมื่อปี 2550 ช่วยในการปกป้องข้อมูลผู้ป่วย โมเดลนี้มีจุดมุ่งหมายเพื่อสร้างพื้นฐานในภาคส่วนด้านสุขภาพ ซึ่งสามารถนำไปใช้กับองค์กรต่างๆ โดยพิจารณาจากวุฒิภาวะและความเสี่ยง HITRUST ประเมินอุตสาหกรรมการดูแลสุขภาพและตัดสินใจว่ามีเพียงความเสี่ยงบางอย่างที่น่าจะเป็นไปได้สำหรับสมาชิกของพวกเขา แทนที่จะเริ่มต้นด้วยความเสี่ยงและการสร้างการควบคุมเพื่อตอบสนองต่อความเสี่ยงดังกล่าว โดยการทำเช่นนี้ โมเดลช่วยให้เอนทิตีที่ครอบคลุม HIPAA เพื่อปรับแต่งโปรแกรมของตนผ่านโมเดล Common Security Framework
• HIPAA : Health Insurance Portability and Accountability (HIPAA) ปีพ.ศ. 2539 ได้เรียกร้องให้กระทรวงสาธารณสุขและบริการมนุษย์นำระเบียบข้อบังคับด้านความเป็นส่วนตัวไปใช้เพื่อปกป้องข้อมูลด้านสุขภาพที่สามารถระบุตัวบุคคลได้ ยิ่งไปกว่านั้น มาตรฐานความปลอดภัย HIPAA ยังทำให้เกิดข้อกำหนดด้านกฎระเบียบ โดยที่องค์กรต่างๆ ภายในขอบเขตสร้างขั้นตอนการบริหารที่มุ่งปกป้องและจัดการการปกป้องข้อมูล บริการรักษาความปลอดภัยทางเทคนิคที่ตรวจสอบการเข้าถึงข้อมูล และกลไกความปลอดภัยทางเทคนิคที่ป้องกันการส่งข้อมูลโดยไม่ได้รับอนุญาต และการป้องกันทางกายภาพเหนือระบบคอมพิวเตอร์
• GDPR : GDPR หรือกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคในสหภาพยุโรป (EU's General Data Protection Regulation) เป็นที่รู้จักจากการกำหนดให้การกำกับดูแลและความรับผิดชอบเป็นหนึ่งในแนวทางหลัก มันสร้างกฎชุดเดียวที่ใช้กับสมาชิกทุกคน อย่างไรก็ตาม มันขยายขอบเขตไปยังผู้ควบคุมข้อมูลที่มีส่วนร่วมในการรวบรวมข้อมูลจากผู้อยู่อาศัยในสหภาพยุโรปที่มาจากผู้อยู่อาศัยในสหภาพยุโรป สิ่งนี้หมายความว่าแม้จะไม่ได้อยู่ในสหภาพยุโรป องค์กรที่จัดการข้อมูลถิ่นที่อยู่ในสหภาพยุโรปในลักษณะดังกล่าวจะต้องปฏิบัติตาม GDPR พยายามที่จะลดปริมาณข้อมูลที่เกี่ยวข้อง จำกัดจุดมุ่งหมายของการใช้ข้อมูล กำหนดความยุติธรรม ความถูกต้องตามกฎหมาย และความโปร่งใสของความเป็นส่วนตัวที่บังคับใช้ความสมบูรณ์และการรักษาความลับของข้อมูล และจำกัดปริมาณการจัดเก็บที่องค์กรเก็บไว้กับบุคคล
• SOX : พระราชบัญญัติ Sarbanes-Oxley Act (SOX) ได้ประกาศใช้เมื่อปี 2545 เพื่อตอบสนองต่อการรายงานการฉ้อโกงขององค์กรในวงกว้าง แม้ว่าสำนักงาน ก.ล.ต. ได้ทำงานที่น่ายกย่องเมื่อต้องจัดการกับข้อกังวลส่วนใหญ่ของ SOX แต่ความโลภขององค์กรส่งผลให้บริษัทหลายแห่งดูหมิ่นกฎหมาย SOX ตั้งเป้าที่จะบังคับใช้จริยธรรมกับบริษัทดังกล่าวผ่านการสร้างบทลงโทษสำหรับผู้ที่รายงานผิด นอกจากนี้ SOX Section 404 ยังเรียกร้องให้ธุรกิจประเมินสภาพแวดล้อมด้านไอทีของตนเพื่อพิจารณาว่ามีความเสี่ยงในการรายงานทางการเงิน (ภายในหรือภายนอก) และมาตรการต่างๆ ที่เหมาะกับพวกเขา
• PCI-DSS : PCI หรือ Payment Card Industry Security Standards Council จัดขึ้นโดยหน่วยงานทางการเงินต่างๆ รวมถึง Visa, Mastercard, JCB International, Discover Financial Services และ American Express มีบทบาทสำคัญในการส่งเสริมความปลอดภัยของข้อมูล โดยเฉพาะอย่างยิ่งเหนือระบบอิเล็กทรอนิกส์ อันที่จริง PCI Data Security Standard หรือ (PCI-DSS) ได้กลายเป็นมาตรฐานการปฏิบัติตามข้อกำหนด ไม่เพียงแต่สำหรับผู้ประมวลผลการชำระเงินทั้งหมดเท่านั้น นอกจากนี้ ผู้ขายต้องประเมินภูมิทัศน์เพื่อพยายามกำหนดขอบเขตความเสี่ยง ซึ่งช่วยให้ปฏิบัติตาม PCI-DSS ได้
• COSO : สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์หรือที่รู้จักกันแพร่หลายในนาม ก.ล.ต. ได้จัดตั้งคณะกรรมการขึ้นในปี 1980 เพื่อกลั่นกรองการรายงานการฉ้อโกง ในกระบวนการนี้ องค์กรสนับสนุนของนักบัญชีและผู้ตรวจสอบจำนวน 5 องค์กรได้เข้าร่วมในการตรวจสอบ ซึ่งส่งผลให้มีการจัดตั้งคณะกรรมการองค์กรผู้สนับสนุนของคณะกรรมาธิการ Treadway (COSO) ต่อมาในปี พ.ศ. 2556 ได้มีการรวมการแก้ไขครั้งสำคัญไว้ในกรอบงานเริ่มต้น

การควบคุมภายในของ COSO ตระหนักถึงองค์ประกอบที่สัมพันธ์กันห้าประการของกิจกรรมการควบคุม สภาพแวดล้อมการควบคุม การเฝ้าติดตาม ข้อมูลและการสื่อสาร และกิจกรรมการควบคุม นอกจากนี้ Enterprise Risk Management –Integrated Framework ซึ่งสร้างโดย PricewaterhouseCoopers ยังรวมถึงวัตถุประสงค์เชิงกลยุทธ์ การรายงาน การดำเนินงาน และการปฏิบัติตามข้อกำหนดของธุรกิจด้วยองค์ประกอบกรอบงานแปดประการของการระบุเหตุการณ์ การติดตาม ข้อมูลและการจัดการ กิจกรรมการควบคุม การตอบสนองความเสี่ยง การตั้งค่าวัตถุประสงค์ ภายใน สิ่งแวดล้อมและการประเมินความเสี่ยง

Ken Lynch เป็นผู้เชี่ยวชาญในการเริ่มต้นใช้งานซอฟต์แวร์ระดับองค์กร ผู้ซึ่งหลงใหลในสิ่งจูงใจให้พนักงานทำงานอยู่เสมอ และวิธีทำให้งานมีส่วนร่วมมากขึ้น Ken ก่อตั้ง Reciprocity เพื่อไล่ตามสิ่งนั้น เขาได้ขับเคลื่อนความสำเร็จของ Reciprocity ด้วยเป้าหมายตามภารกิจในการมีส่วนร่วมกับพนักงานด้วยเป้าหมายด้านการกำกับดูแล ความเสี่ยง และการปฏิบัติตามข้อกำหนดของบริษัท เพื่อสร้างพลเมืององค์กรที่มีใจรักในสังคมมากขึ้น เคนสำเร็จการศึกษาระดับปริญญาตรีสาขาวิทยาการคอมพิวเตอร์และวิศวกรรมไฟฟ้าจาก MIT