随着美国政府不断制定越来越多的法规约束商业活动,对很多公司来说,规范性日益成为一个棘手的问题。大量的法规包括——儿童网络隐私保护法,国际国内贸易电子签名法,医疗保险携带和责任法(HIPAA),萨班斯-奥克斯利法案(SOX),格雷姆-里奇-比利雷法(GLBA),联邦信息资源管理法(FISMA),仅举这几例。所有这些法规有一个共同的主题:要求公司加强安全配置并控制他们的网络基础设施。
很多组织从错误的角度来做到遵守法规要求。他们所犯的错误是找到这些大量的法规并对照自己公司:我们符合法律要求吗?
但是这并不是恰当的问题,公司真正需要问的问题是:我们的政策符合要求吗?我们遵守我们的策略了吗?停止通过实施新的安全技术,安全设备和安全控制来满足法规要求,相反要从安全策略出发解决问题。
从何开始
第一步是要理解策略是你的公司合法性要求及法律责任的混合体。一项策略并不是一个技术评论而是解决公司要求的合法性和法律方针。
这就是为什么不能基于技术制定策略的原因。技术变化的速度快于策略更新的速度。
例如,不要说,“我们必须用文件安全与加密技术来保证包含客户信息的文件的安全性。”相反,制定一个策略应该这样说:“我们必须保护客户信息的安全,因此只有授权的个人才能浏览或更改这些信息。”
通过改变一句话的措辞,这里面就有很大的区别。这里面就包含了访问授权,你的业务环境内部和外部信息的电子和硬拷贝的安全性,存储安全性和传输安全性都包含了。
达到什么目的
看起来这可能达不到预期目的,但是剔除策略中的技术成分确实有助于符合法规要求。你可以使用策略在满足法律要求的同时指明业务目的,同时你还可以使用策略解决不同领域的合法性要求。
合法性要求最麻烦的领域之一是审计。审计可能意味着几件不同的事情,这取决于你要求谁来定义它。例如,一个会计和一个防火墙管理员会给出两个完全不同的定义。然而,你的策略必须解决这两个领域的问题。
不要这样来写IT安全审计策略,“保留三年之内的包含系统记录或文件访问的电子日志”,你不必这么明确。你的全部安全策略应该这样写。“保留所有对业务资源、系统和过程的授权与非授权访问信息。”这样你的策略就剔除了技术要求,并为整个业务流程解决了合法性要求。
最后的思考
通过改变你的网络和引进新技术的方法满足法规要求是一场失败的战斗。负责保护你的网络的IT专业人员通常是一群敏锐的人员。
如果你给了他们解决公司要求的主要策略,他们就会利用这些策略来为你的基础设施设定安全标准并通过网络合法性管理来加强这些标准。只要你们的策略是最新的,就不用再担心诸如“我们符合法律要求吗”这样的问题了。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
评估厂商安全策略:你应该关注这五个问题
网络空间的动态特性要求安全策略适应这一趋势。很多安全损害首先是由于针对厂商的攻击引起的,所有企业必须解决与厂商有关的网络威胁。评估厂商的安全策略是一种确保数据安全性的合理方法。
-
将平板电脑用于工作合适吗?安全问题怎么解决?
平板电脑是不是不如笔记本电脑安全呢?我在为我的公司制定设备安全策略,是否应该禁用平板?或者采取特定的平板安全策略来限制特定厂商/OS的平板设备的使用?
-
手把手教你实现有效的漏洞评估
要想使漏洞评估更有成效,强健的安全策略就应当将漏洞对业务的影响、企业的总体安全策略、漏洞评估的结果联系起来。在本文中,详述了为确保有效性,漏洞评估应遵循的步骤。
-
网络透明是企业实现更高安全性的诀窍
更大更多样化的网络意味着攻击者有了更大的攻击面。对此,现在的网络专业人士必须更新其安全政策来应对新的漏洞以及响应不可避免的攻击。但首先,他们需要对其网络有着清晰的视图。