搜索

热门标签:

移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

IT合规性打算:若何保护IT合规性文档

时间:2013-10-21 12:55来源:TuZhiJiaMi企业信息安全专家 点击:
每个研究信息安然和IT合规性的专家都知道,其实IT合规性文档对正在进行的IT合规性项目标可行性是相当首要的。那么,为甚么这个首要的任务常常被忽视,被回类于那些“今后再做”的工作
Tags应用安全(1006)IT(44)合规性文档(1)  

  每个研究信息安然和IT合规性的专家都知道,其实IT合规性文档对正在进行的IT合规性项目标可行性是相当首要的。那么,为甚么这个首要的任务常常被忽视,被回类于那些“今后再做”的工作列表中,并被像垃圾一样扔在各美国企业的桌面上?

  记实合规性文档其实不麻烦。我们都知道在大年夜型组织中,安然节制的书面申明对确保合规性工作的延续性是很是首要的。在大年夜型组织中,责任总在部门和部门之间改变,而跟着人事的勾当,小我之间的责任也在变换。与此同时,良多律例都明白划定需要正式的安然节制文件。但是,保护这个合规性文档是IT合规性勾当中最常常被忽视的环节之一。

  在这篇文章中,我们会商一些企业可以用来改良合规性节制文档的编制,开辟一个可延续成长的打算来保护安然文档,并体味良多组织需要顺从的具体文档要求。

  记实安然节制

  肆意合规性文档的根基方针都是保护一个组织必需遵循的各项规章轨制所授权的所有节制方针列表,然后按照这个有具体节制描述的列表来实现节制目标。组织所利用的一种常见编制是经由过程逐点胪陈的根本要求来为项目标各项规章轨制指定一份书面合规性打算。这份文档的复杂性取决于包含在每个规章要求里面的细节程度。一般来讲,合规性文档中应当包含一个需求描述,节制描述,最后一次验证节制安然的节制与信息负责人的联系信息。

  好比,一份PCI DSS(数据安然尺度)合规性打算关于措置要求的 12.1节应当包含以下三个部门内容:

  要求:拟定、发布、保护和传播一个安然策略,以解决所有PCI DSS要求。

  节制描述:企业信息安然策略(可在SharePoint上获得的策略文件夹)的第3节中包含解决每个PCI DSS要求的具体描述。

  负责人:Mary Jones, IT策略办公室,x51242

  引文来历:PCI DSS 12.1.1

  最后验证人:2013年6月1日 Tom Abrams

  要求:指定、发布、保护和传播一个安然策略,包含一个年度威胁和缝隙辨认过程,并生成一份正式的风险评估陈述。

  节制描述:企业信息安然策略(可在SharePoint上获得的策略文件夹)的4.1节中包含年度正式的风险评估要求。这个风险评估在每年5月进行,成果保留在IT合规内网的风险评估文件夹中。

  负责人:Robert Smith,IT安然办公室,x58294

  引文来历:PCI DSS 12.1.2

  最后验证人:2013年6月1日 Tom Abrams

  要求:拟定、发布、保护和传播一个安然策略,包含起码每年一次的评审陈述,或环境改变时的评审陈述。

  节制描述:企业信息安然策略(可在SharePoint上获得的策略文件夹)的5.2节中包含年度或环境改变的评审要求。这个评审陈述用备忘录情势记实并保留在IT合规内网的策略评审文件夹中。

  负责人:Robert Smith,IT安然办公室,x58294

  引文来历:PCI DSS 12.1.3

  最后验证人:2013年6月1日 Tom Abrams

  这些文档的成立需要合规性打算项目标所有负责人之间的协同尽力。在良多大年夜型组织中,成立这些文档多是一个已存在的合规性或风险治理委员会的责任。小我好处相干者可能包含信息安然专业人士、政策阐发师、合规专家和法令参谋。一旦合规性文档完成,它就是可以验证组织正在进行时项目标合规性的贵重资本,也能够在肆意审计标题问题呈现时大年夜大年夜减小解决标题问题标难度。

  评审合规打算

  一个组织的各类合规性打算的年度评审都应当在IT合规性日程表上被放置作为常常性的勾当,并且和其它首要的合规刻日和里程碑一样首要。每个评审过程都应当顺从小我“保持距离”状况,起码,不该该由负责合规打算的人来指导评审过程。

  评审工作是一个审核IT合规性打算上每个元素的一个简单过程,验证安然节制列表上的节制目标是不是到位,是不是有效地知足合规性要求。一旦每个验证完成,评审者需要更新合规性打算上的“最后验证人”的日期。

  年度评审的第二项工作是将合规性打算和今朝的监管要求进行对比。年度评审是一个很好的查抄和均衡项目,可以确保节制要求自前次评审以来并没有产生改变,并且IT合规性打算已合适每个要求。任何不足的处所应当整治修复,并记其实更新的合规打算中。

  律例划定的具体安然文档要求

  当开辟企业的合规性文档项目时,必然要咨询每个监管该勾当的律例划定的具体文档要求。这些律例可能包含你需要纳进项目标具体文件要求。

  例如,HIPAA(健康保险畅通与责任法案)和PCI DSS合规性打算都包含一个律例,其要求组织进行正式的风险评估来确保受呵护资料的安然。一个合规性打算应确保的不但仅是评审过程已完成,并且评审的成果需要记实并保留下来,当合规审计需要的时辰,相干人员可以很快获得评审成果。一个常常利用的编制是利用SharePoint站点来保留此文档。

  别的,大年夜大都信息安然律例要求组织具有一个包含特定元素的书面信息安然打算。事实的确如斯,乃至一些恍惚的律例,如马萨诸塞州的201 CMR 17.00律例,监管汇集马萨诸塞州居平易近小我信息的各机构。这条律例列举了大年夜量需要书面打算记实下来的特定要求。是以,你可能发现你需要调剂你的文档来知足各类不合的律例要求。

  虽然记实IT合规必定很古板,可是对确保合规性项目标顺利和有效运行是相当首要的。文档打算除作为律例顺从项目所需的组件以外,它让组织可以简单地验证今朝合规性项目是不是知足所有律例,并且简化组织和监管机构、设计师和其他第三方关于合规性打算交换的过程。

相关文章
------分隔线----------------------------

推荐内容
热点内容