Infosec 標準和法規——入門排序合規性

已發表: 2018-07-30

將信息安全標準和法規分類為不同的組起初可能聽起來很愚蠢,因為將一套書面的指導方針和規則付諸實踐並不是認真的人實際做的事情。 但是,每個類別都具有一組有助於定義學生個性的特徵。 事實上,幾個不同的在線網站已經將名人、《權力的遊戲》角色和政客分組到了自己的組中。 儘管信息安全標準和法規缺乏個性,但制定它們的組織卻有。

Infosec 合規性沒有屬於其他合規性領域的嚴格層次結構。 在某些情況下,Infosec 標準和法規既可以作為同行的建議,也可以作為指導。 即便如此,不斷增長的客戶關注度已經將這一主題的很大一部分轉變為合規性,成為收入的關鍵銷售方面。 儘管如此,將此類信息安全標準和法規組織成更廣泛的指南可以幫助協商不斷變化的合規空間。

關注那些在信息安全標準和法規領域表現出決心、勇敢和勇氣的組織,需要關注那些似乎帶頭負責安全以加強世界網絡安全的實體。 它們包括:

  • OWASP:開放 Web 應用程序安全項目成立於 2001 年,作為一個開放的全球社區運作,允許組織運營、獲取、開發、構思和維護受信任的應用程序。 儘管 OWASP 投入了更多的資源和更少的合規性,但由於其為成員提供指導的行業創新的英勇努力,OWASP 值得在此列表中佔有一席之地。 此外,它似乎是一個組織,其關鍵目標主要與更正式的組織製定的傳統合規目標重疊。
  • NIST :NIST 也被稱為美國國家標準與技術研究院,它免費發布其備受推崇的網絡安全框架。 NIST 800-53 和網絡安全框架都有助於為組織提供一種開始組織最佳實踐的技術,而無需自動花錢。 為了保護網絡安全,美國國家標準與技術研究院的網站免費提供了一個參考工具,它代表了框架核心,一組行業實踐、指南和標準。
  • 英國安全政策框架:政府安全專業、國家安全和情報局和英國內閣辦公室發布了這份長​​達 11 頁的文件,以協助指導政府資產的保護。 它包括二十個強制性要求,分為個人安全、保護標記和資產控制、業務連續性、反恐、信息安全和保證、物理安全以及治理、風險管理和合規這七個關鍵領域。
  • COBIT :信息系統審計和控制協會支持信息相關技術控制目標 (COBIT) 框架的創建。 該結構用作一種工具,有助於彌合技術問題和業務需求之間存在的差距,以確保適當地映射控制。 重要的是,COBIT 充當了基於流程的建模工具。

更重要的是,該框架提供了成熟度模型,用於評估企業發展所需的變化。 它通過將 34 個流程分解為監控與評估、獲取與實施、組織以及交付與支持這四個特定領域來實現這一點。

  • ISO :ISO 或國際標準化組織提供了一些最常遵守和公認的標準。 ISO/IEC/27000 合規性及其相關標準引領潮流,特別是對於那些著手實施信息安全標準和法規的人。 作為信息安全領域最重要的專家,ISO 已經利用這一屬性將自己展示為一個具有令人印象深刻的雄心壯志的持續發展的企業。
  • HITRUST :健康信息信任聯盟 (HITRUST) 成立於 2007 年,有助於保護患者信息。 其模型旨在建立整個衛生部門的基線,可以根據企業的成熟度和風險將其應用於企業。 HITRUST 評估了醫療保健行業,並決定其成員可能只面臨某些風險,而不是從風險開始並建立控制措施來應對此類風險。 通過這樣做,其模型使受 HIPAA 覆蓋的實體能夠通過通用安全框架模型自定義其程序。
  • HIPAA :1996 年的健康保險流通與責任 (HIPAA) 敦促衛生與公眾服務部部長實施旨在保護可單獨識別的健康信息的隱私法規。 更重要的是,HIPAA安全標準帶來了監管要求,企業在其權限範圍內建立旨在保護和管理數據保護的管理程序、審查信息訪問的技術安全服務以及避免未經授權的信息傳輸的技術安全機制和對計算機系統的物理保護。
  • GDPR :GDPR 或歐盟的通用數據保護條例以將治理和問責製作為其關鍵指令之一而聞名。 它創建適用於所有成員的單個規則集合。 儘管如此,它將範圍擴大到參與從歐盟居民那裡收集來自歐盟居民的信息的數據控制者。 這意味著即使不在歐盟,以這種方式處理歐盟居民信息的組織也需要遵守規定。 GDPR 旨在減少所涉及的數據量,限制使用信息的目的,確定隱私的公平性、合法性和透明度,加強信息的完整性和機密性,並限制組織為個人保留的存儲量。
  • SOX :薩班斯-奧克斯利法案 (SOX) 於 2002 年頒布,作為對廣泛的企業欺詐報告的回應。 儘管 SEC 在解決 SOX 的大部分問題時做了值得稱道的工作,但企業的貪婪導致幾家公司無視法律。 SOX 旨在通過對誤報者進行處罰來對此類公司實施道德規範。 此外,SOX 第 404 節要求企業評估其 IT 環境,以確定是否存在財務報告風險(內部或外部)以及應對這些風險的措施。
  • PCI-DSS :PCI 或支付卡行業安全標準委員會由各種金融實體組織,包括 Visa、Mastercard、JCB International、Discover Financial Services 和 American Express。 它在促進信息安全方面發揮著重要作用,特別是在電子系統方面。 事實上,PCI 數據安全標准或 (PCI-DSS) 已成為一種合規標準,不僅適用於任何支付處理器,而且適用於所有支付處理器。 此外,供應商必須評估形勢以確定其風險範圍,從而使其符合 PCI-DSS。
  • COSO :美國證券交易委員會,或俗稱 SEC 於 1980 年代成立了一個委員會,負責審查欺詐性報告。 在此過程中,五個會計師和審計師支持組織加入了審查,從而創建了 Treadway 委員會贊助組織委員會 (COSO)。 2013 年晚些時候,初始框架中包含了一項重大修訂。

COSO 的內部控制識別控制活動、控制環境、監控、信息和溝通以及控制活動的五個相關要素。 此外,其由普華永道創建的企業風險管理綜合框架包括戰略、報告、運營和合規業務目標,包括事件識別、監控、信息和管理、控制活動、風險響應、目標設定、內部環境和風險評估。

Ken Lynch 是一位企業軟件初創公司的資深人士,他一直著迷於推動員工工作的因素以及如何讓工作更具吸引力。 Ken 創立 Reciprocity 就是為了追求這一點。 他推動了 Reciprocity 的成功,這一基於使命的目標是讓員工參與公司的治理、風險和合規目標,以培養更多具有社會意識的企業公民。 Ken 在麻省理工學院獲得計算機科學和電氣工程學士學位。