合规:我不能理解一些安全专业人员,特别是不会每天或甚至每时处理问题的首席信息安全官(CISO)。如果公司要遵从的不是支付卡行业数据安全标准(简称PCI DSS),那么可能是HIPAA法案、GLB法案、萨班斯法案或是许多其它私有和安全法令之一。保护企业的数据很必要,同时也要保证企业履行合规的要求。 所以CISO如何才能正确地管理合规?CISO需要有什么样的关键管理过程、优先级排序和心态,才能确保信息安全团队能让企业满足合规要求?本文我想介绍可能有助于你获得成功的四个方面。
你的口头禅:保护数据 首先,记住作为CISO你的角色是公司信息安全的代表。不管是什么特定的合规要求,你的首要工作……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
合规:我不能理解一些安全专业人员,特别是不会每天或甚至每时处理问题的首席信息安全官(CISO)。如果公司要遵从的不是支付卡行业数据安全标准(简称PCI DSS),那么可能是HIPAA法案、GLB法案、萨班斯法案或是许多其它私有和安全法令之一。保护企业的数据很必要,同时也要保证企业履行合规的要求。
所以CISO如何才能正确地管理合规?CISO需要有什么样的关键管理过程、优先级排序和心态,才能确保信息安全团队能让企业满足合规要求?本文我想介绍可能有助于你获得成功的四个方面。
你的口头禅:保护数据
首先,记住作为CISO你的角色是公司信息安全的代表。不管是什么特定的合规要求,你的首要工作是保护公司的数据,并且还要保护你的员工、厂商、顾客和你的股东。
如果你查看关键合规指导方针——包括PCI DSS、HIPAA或是NERC要求——其核心的主题都是保护系统、数据和防止数据丢失。基本上大多数合规要求的基本原则是维持“CIA”:即数据和系统的保密性(confidentiality)、完整性(integrity)和可用性(availability)。
了解管理合规的要求
其次,了解你必须遵从的合规要求。阅读并研究它们,并且对照它们进行自审和评估。掌握关于这些法令的相关解释、裁决和新闻最新动态。例如订阅关于PCI DSS、HIPAA或NERC的新闻,或者创建Google Alert,了解关于信用卡安全,或是任何和你行业最相关的新闻。通过了解要求和保持对这些主题的行业交流,你将能够对可能会影响公司合规状态的决策结果更了解。
你还可以通过使用行业评估检查列表(用于指导变更管理或者架构评审)来了解要求。确保对系统的变更——即使是那些和合规主题没有直接关联的——不会使数据或系统面临潜在的危险。
安全培训和安全意识
作为CISO,我坚信员工是公司的第一道防线。要确保员工和承包商意识到他们的行为,或者不作为可能会导致数据泄露或违规的情况。那么,你如何传达这些信息呢?
第一步是查看业务过程,并且推断在数据流和系统操作中因为没履行特定的要求而导致违规的地方。使用这些信息,花时间对关键员工进行培训,并且进行责任定位以保护信息安全。
例如,就PCI DSS法案来说,一个潜在的薄弱区域是在销售点终端机处理信用卡数据。恰当的方法(并且甚至是PCI DSS要求的)是花时间向面对客户的员工——或者至少制定一些基于计算机的培训或员工安全意识手册——解释处理信用卡的正确和不正确的方式,例如不要复制信用卡号。
在这方面的其它方法还有指导开发重要Web应用的员工进行测试和数据校验,或是培训所有便携式电脑用户如何在外出旅行时安全防护他们的机器。
换句话说,要经常培训和指导员工了解采取某些行为的原因,以及如果数据没有得到恰当地保护会给公司名誉和员工带来的影响。
了解根源
如果发生事故,该事故可能会让公司的法规遵从受到质疑,所以必须花时间和精力来理解事故的根本原因。不要只是掩盖征兆,要真正地理解发生了什么和为什么会发生。然后花时间思考补救措施,来解决问题和防止事件再次发生。确认和追踪这些补救措施确实完成。
这个方法也将有助于你与监管人员及合规监督者沟通。通过了解你的问题和事件,你会阐明你不想让错误发生和你愿意付出时间和努力来防止问题再次发生。如果到了罚款或处罚的地步,如果你一直和监管者保持坦诚,他们很可能会宽大处理。
持续的压力
作为CISO,我经常对我的安全团队同事说,我们最重要的工作是持续关注公司合规和数据安全。不幸的是,这可能并不容易实现,并且有时还具有挑战性,但是你需要保持这个压力来保持和提高你所在企业的安全状况。
作者
相关推荐
-
勒索软件给事件响应带来压力
研究表明,随着网络罪犯将注意力转向勒索软件攻击,2017年泄露数据记录数量下降近25%。 根据2018年IBM […]
-
企业有望通过安全分析来应对网络威胁
几十年以来,安全领域已经发生了巨大变化。企业不仅需要保护办公室资产和股票等有形资产,同时,随着企业越来越依靠技 […]
-
云栖大会前夕:阿里云安全来了场神秘发布
国庆即来,而国庆之后即是一年一度的杭州云栖大会,在距大会不到两周的节点上,一场以“云上安全 中国力量”的阿里云安全发布会在京神秘召开,更有神秘的“幕后智多星”首次公开亮相……
-
当安全团队在寻求解决方案的时候,他们在寻找什么?
如果你问一些安全购买者在找什么样的方案或产品,其中的多数可能会说还没有找到正在找的东西……