Compliance and Regulatory Frameworks

影响当今组织的指导方针和最佳实践

Topic Overview

Gartner® SOC Model Report

利用Gartner最新的SOC模型研究,构建高效的安全运营中心.

Get the Report

什么是法规遵从及规管架构?

遵从性和监管框架是指导方针和最佳实践的集合. 组织遵循这些指导方针来满足法规要求, improve processes, strengthen security, 并实现其他商业目标(如成为一家上市公司), 或者向政府机构出售云解决方案).

这些框架为我们提供了一种从服务器室到会议室都可以使用的通用语言. These standards are leveraged by:

  • 内部审核员和其他内部利益相关者评估其组织内部的控制措施.
  • 外部审计员评估和证明组织内的控制措施.
  • 第三方(潜在客户、投资者等.)评估与组织合作的潜在风险.

在监管框架内实现合规性是一个持续的过程. 你的环境总是在变化,控制的运行效率可能会崩溃. Regular monitoring and reporting is a must, 并且在每个框架中还概述了关于“定期监测”的具体内容的指导.

如果您与信息安全(IS)团队一起工作或属于该团队, 以下是你可能会遇到的一些监管框架:

Sarbanes-Oxley (SOX)

  • Why does it exist? The Sarbanes-Oxley Act 2002年通过的法案旨在打击安然会计丑闻后的欺诈行为, WorldCom, and Tyco impacted investor trust. 这些控制措施对上市公司是强制性的.
  • 如果你在一个IS团队,这会对你有什么影响? 处理财务数据的应用程序和系统有各种安全需求. Requirements around access management, general IT controls (ITGCs), 实体级控制可能需要由信息系统团队管理.
  • 什么样的组织会利用这个框架呢? 上市公司,或有意进行首次公开募股(IPO)的公司. 

PCI DSS

  • Why does it exist? 支付卡行业数据安全标准(PCI DSS),以保障持卡人资料的安全. 这些控制对于处理信用卡数据的组织是强制性的. 这些标准由多个层次组成, 您的组织与信用卡数据交互的程度将决定您的组织需要达到何种级别的PCI遵从性. For example, banks, merchants, 考虑到业务性质,服务提供商将被要求达到更高的标准.
  • 如果你在一个IS团队,这会对你有什么影响? 除了根据您的PCI DSS级别强制执行某些程序和控制之外, 你可能需要完成自我评估问卷, quarterly network scans, and on-site independent security audits. 
  • 什么样的组织会利用这个框架呢? 商家、支付卡发卡银行、处理器、开发人员和其他供应商.

NIST

  • Why does it exist? 与SOX不同,NIST不是一组单一的控件. NIST, or the 国家标准与技术研究所, 是商务部下属的一个涵盖制造业的联邦机构吗, quality control, and security, among others. 该机构与安全行业专家合作, other government agencies, 学者建立一套控制和平衡,以帮助关键基础设施的运营商管理网络安全风险. Today, 许多组织利用NIST指南来管理和减少可能影响其环境和客户的风险. Unlike some other frameworks, NIST is voluntary, 然而,客户在与您合作之前可能会要求某些控制措施到位.
  • 如果你在一个IS团队,这会对你有什么影响? 如果你在一个利用NIST的组织的信息系统团队, you’ll play a large role in identifying, defining, 并执行由标准控制的控制. For example, 确定您的组织将如何处理漏洞扫描时, 您可以遵循NIST 800-53风险评估RA 5中概述的指导, 哪一个说明了扫描频率的最佳实践, the type of scanning that should be done, 如何处理这些扫描的结果和更多.
  • 什么样的组织会利用这个框架呢? 这通常是大型商业企业和政府机构的杠杆作用, 但对于任何对评估和减少网络风险感兴趣的组织来说,它都是一个有用的框架.

SSAE-16

  • Why does it exist? 关于鉴证业务准则的声明. 16 (SSAE-16)监视和实施对影响财务报告的应用程序和应用程序基础设施的控制. 它涵盖了业务流程控制和It一般控制. Service organization controls (SOC) 1报告,以前称为SAS 70报告,利用SSAE-16框架.
  • 如果你在一个IS团队,这会对你有什么影响? SSAE-16框架概述了许多通用最佳实践, 但它也是SOX合规流程的强制性部分. 在属于SOX的组织中(如上所述), 这包括上市公司或即将上市的公司), 特定的利益相关者将需要审查SOC 1报告,以查看任何被视为符合SOX的应用程序(通常这些是处理财务数据的应用程序)。. After reviewing the reports, 这些涉众将需要决定组织是否可以接受报告的任何相关风险.
  • 什么样的组织会利用这个框架呢? 通常会得到SOC 1报告的公司类型, 或者提供用于处理财务信息的应用程序并最终影响财务报表的公司.

AT-101

  • Why does it exist? SOC 2 reports are based on the AT-101 auditing standard. SOC 2报告测试安全的设计或操作有效性, availability, processing integrity, confidentiality, and/or privacy controls. 所有SOC 2报告都需要涵盖安全控制. Availability, processing integrity, confidentiality, 隐私控制是可选的原则,如果这些控制是提供服务不可或缺的一部分,公司可能会选择包括这些原则. AT-101 SOC 2报告基于信托服务原则, 哪些与上面列出的安全控制相关联.
  • 如果你在一个IS团队,这会对你有什么影响? 查看来自其他组织的SOC 2报告可以揭示与他们合作如何将风险引入您的环境.
  • 什么样的组织会利用这个框架呢? Software as a Service (SaaS) providers, cloud computing companies, 和其他技术相关服务的解决方案通常会获得SOC 2报告.

FedRAMP

  • Why does it exist? FedRAMP 政府机构是否有一种标准化的方法来评估基于云的解决方案的风险. It follows a “do it once, use it many times” approach, 允许在多个机构之间重用现有的安全评估和包. 因为持续监控云产品和服务是框架的核心, 它可以提高组织的实时安全可见性.
  • 如果你在一个IS团队,这会对你有什么影响? If you work at a government agency, 您将使用FedRAMP包来决定利用特定的基于云的解决方案是否有意义.
  • 什么样的组织会利用这个框架呢? 有兴趣向联邦政府机构销售云解决方案的供应商将通过FedRAMP认证过程.

国际标准化组织

  • Why does it exist? ISO是一套国际标准. ISO中有不同的子框架, 与您的组织/行业最相关的子框架取决于您的目标. For example, 制造组织可能会利用子框架ISO 9000, 因为这个框架中的控制集中在质量管理上. 希望改进信息安全管理体系流程的组织可以从ISO 27000概述的控制中获得更有用的指导. 有关ISO标准的更多信息以及哪些标准与您的组织最相关,请访问 ISO.org.
  • 如果你在一个IS团队,这会对你有什么影响? 您的团队可以使用这个框架来改进和报告质量管理和安全性.
  • 什么样的组织会利用这个框架呢? Any organization, whether public or private, 是否可以使用这个框架来改进和报告质量管理和安全.

隐私盾(取代美欧安全港)

  • Why does it exist? 美欧安全港的建立是为了确保美国公司在向美国传输欧洲数据时遵守欧盟数据保护标准. 2015年,欧洲法院宣布该禁令无效, 与爱德华·斯诺登和美国国家安全局泄密事件有关. The Privacy Shield Framework was put in place to replace it. 它的存在是为了保护或减轻数据在这两个地理区域之间传输时被篡改的风险. It enables US companies to more easily receive personal data from the EU under EU privacy laws meant to protect European citizens; this allows for a more free exchange of data, which is good for commerce.
  • 什么样的组织会利用这个框架呢? 在欧盟和美国之间收集、存储或处理个人数据的组织. 美国公司可以自我证明,它们将遵守欧盟的数据保护标准,以便允许将欧洲的数据传输到美国.
  • 如果你在一个IS团队,这会对你有什么影响? 您的团队可能会参与加入隐私保护框架的过程, and enforcing related controls.

HIPAA/HITECH

  • Why does it exist? HIPAA/HITECH 加强安全性以保护个人健康信息(PHI).
  • 什么样的组织会利用这个框架呢? Anyone who is collecting, 存储或处理个人健康信息(PHI), including hospitals, medical providers, and insurance companies.
  • 如果你在一个IS团队,这会对你有什么影响? If you’re collecting this information, 你需要有适当的控制措施来确保它的安全.

这些只是您的组织可能需要遵守的一些遵从性和法规框架. 实现合规将是一个持续的过程, 但是,定期的监视和报告有助于使遵守这些框架(并维护安全的环境)成为业务操作的标准部分. 

Read More About Regulations & Compliance

Compliance: Latest News from the Blog

Related Topics

服务组织控制(SOC)报告

Governance, Risk, and Compliance
Read Topic

NIST Cybersecurity Frameworks

Governance, Risk, and Compliance
Read Topic

CIS Critical Security Controls

Governance, Risk, and Compliance
Read Topic

NYDFS Cybersecurity Regulation

Governance, Risk, and Compliance
Read Topic

Information Security Risk Management

Governance, Risk, and Compliance
Read Topic

General Data Protection Regulation (GDPR)

Governance, Risk, and Compliance
Read Topic
View More Topics View More Topics