Infosec 标准和法规——入门排序合规性

已发表: 2018-07-30

将信息安全标准和法规分类为不同的组起初可能听起来很愚蠢,因为将一套书面的指导方针和规则付诸实践并不是认真的人实际做的事情。 但是,每个类别都具有一组有助于定义学生个性的特征。 事实上,几个不同的在线网站已经将名人、《权力的游戏》角色和政客分组到了自己的组中。 尽管信息安全标准和法规缺乏个性,但制定它们的组织却有。

Infosec 合规性没有属于其他合规性领域的严格层次结构。 在某些情况下,Infosec 标准和法规既可以作为同行的建议,也可以作为指导。 即便如此,不断增长的客户关注度已经将这一主题的很大一部分转变为合规性,成为收入的关键销售方面。 尽管如此,将此类信息安全标准和法规组织成更广泛的指南可以帮助协商不断变化的合规空间。

关注那些在信息安全标准和法规世界中表现出决心、勇敢和勇气的组织,需要关注那些似乎带头负责安全以加强世界网络安全的实体。 它们包括:

  • OWASP:开放 Web 应用程序安全项目成立于 2001 年,作为一个开放的全球社区运作,允许组织运营、获取、开发、构思和维护受信任的应用程序。 尽管 OWASP 投入了更多的资源和更少的合规性,但由于其为成员提供指导的行业创新的英勇努力,OWASP 值得在此列表中占有一席之地。 此外,它似乎是一个组织,其关键目标主要与更正式的组织制定的传统合规目标重叠。
  • NIST :NIST 也被称为美国国家标准与技术研究院,它免费发布其备受推崇的网络安全框架。 NIST 800-53 和网络安全框架都有助于为组织提供一种开始组织最佳实践的技术,而无需自动花钱。 为了保护网络安全,美国国家标准与技术研究院的网站免费提供了一个参考工具,它代表了框架核心,一组行业实践、指南和标准。
  • 英国安全政策框架:政府安全专业、国家安全和情报局和英国内阁办公室发布了这份长达 11 页的文件,以协助指导政府资产的保护。 它包括二十个强制性要求,分为个人安全、保护标记和资产控制、业务连续性、反恐、信息安全和保证、物理安全以及治理、风险管理和合规这七个关键领域。
  • COBIT :信息系统审计和控制协会支持信息相关技术控制目标 (COBIT) 框架的创建。 该结构用作一种工具,有助于弥合技术问题和业务需求之间存在的差距,以确保适当地映射控制。 重要的是,COBIT 充当了基于流程的建模工具。

更重要的是,该框架提供了成熟度模型,用于评估企业发展所需的变化。 它通过将 34 个流程分解为监控与评估、获取与实施、组织以及交付与支持这四个特定领域来实现这一点。

  • ISO :ISO 或国际标准化组织提供了一些最常遵守和公认的标准。 ISO/IEC/27000 合规性及其相关标准引领潮流,特别是对于那些着手实施信息安全标准和法规的人。 作为信息安全领域最重要的专家,ISO 已经利用这一属性将自己展示为一个具有令人印象深刻的雄心壮志的持续发展的企业。
  • HITRUST :健康信息信任联盟 (HITRUST) 成立于 2007 年,有助于保护患者信息。 其模型旨在建立整个卫生部门的基线,可以根据企业的成熟度和风险将其应用于企业。 HITRUST 评估了医疗保健行业,并决定其成员可能只面临某些风险,而不是从风险开始并建立控制措施来应对此类风险。 通过这样做,其模型使受 HIPAA 覆盖的实体能够通过通用安全框架模型自定义其程序。
  • HIPAA :1996 年的健康保险流通与责任 (HIPAA) 敦促卫生与公众服务部部长实施旨在保护可单独识别的健康信息的隐私法规。 更重要的是,HIPAA安全标准带来了监管要求,企业在其权限范围内建立旨在保护和管理数据保护的管理程序、审查信息访问的技术安全服务以及避免未经授权的信息传输的技术安全机制和对计算机系统的物理保护。
  • GDPR :GDPR 或欧盟的通用数据保护条例以将治理和问责制作为其关键指令之一而闻名。 它创建适用于所有成员的单个规则集合。 尽管如此,它将范围扩大到参与从欧盟居民那里收集来自欧盟居民的信息的数据控制者。 这意味着即使不在欧盟,以这种方式处理欧盟居民信息的组织也需要遵守规定。 GDPR 旨在减少所涉及的数据量,限制使用信息的目的,确定隐私的公平性、合法性和透明度,加强信息的完整性和机密性,并限制组织为个人保留的存储量。
  • SOX :萨班斯-奥克斯利法案 (SOX) 于 2002 年颁布,作为对广泛的企业欺诈报告的回应。 尽管 SEC 在解决 SOX 的大部分问题时做了值得称道的工作,但企业的贪婪导致几家公司无视法律。 SOX 旨在通过对误报者进行处罚来对此类公司实施道德规范。 此外,SOX 第 404 节要求企业评估其 IT 环境,以确定是否存在财务报告风险(内部或外部)以及应对这些风险的措施。
  • PCI-DSS :PCI 或支付卡行业安全标准委员会由各种金融实体组织,包括 Visa、Mastercard、JCB International、Discover Financial Services 和 American Express。 它在促进信息安全方面发挥着重要作用,特别是在电子系统方面。 事实上,PCI 数据安全标准或 (PCI-DSS) 已成为一种合规标准,不仅适用于任何支付处理器,而且适用于所有支付处理器。 此外,供应商必须评估形势以确定其风险范围,从而使其符合 PCI-DSS。
  • COSO :美国证券交易委员会,或俗称 SEC 于 1980 年代成立了一个委员会,负责审查欺诈性报告。 在此过程中,五个会计师和审计师支持组织加入了审查,从而创建了 Treadway 委员会赞助组织委员会 (COSO)。 2013 年晚些时候,初始框架中包含了一项重大修订。

COSO 的内部控制识别控制活动、控制环境、监控、信息和沟通以及控制活动的五个相关要素。 此外,其由普华永道创建的企业风险管理综合框架包括战略、报告、运营和合规业务目标,包括事件识别、监控、信息和管理、控制活动、风险响应、目标设定、内部环境和风险评估。

Ken Lynch 是一位企业软件初创公司的资深人士,他一直着迷于推动员工工作的因素以及如何让工作更具吸引力。 Ken 创立 Reciprocity 就是为了追求这一点。 他推动了 Reciprocity 的成功,这一基于使命的目标是让员工参与公司的治理、风险和合规目标,以培养更多具有社会意识的企业公民。 Ken 在麻省理工学院获得计算机科学和电气工程学士学位。