销售软件的公司, 制造零件或法律服务是非常不同的业务类型, 然而,他们都有一些共同点. 他们都面临着越来越需要证明他们正在保护他们收集的数据的问题, 使用和储存. 有时,对安全遵从性的需求来自法律法规,但越来越多的组织需要安全遵从性, 对安全遵从性的需求来自他们的客户或供应商.
在本文中, 我们将探讨澳门赌场网址大全合规要求如何扩展到传统上没有受到监管的行业,并概述合规流程.
以下是你将学到的:
什么是澳门赌场网址大全合规?
澳门赌场网址大全遵从性是确保满足一组标准以保护数据和访问IT系统的过程.
长期以来,医疗保健和金融服务等行业必须遵守数据安全法规,因为它们处理的信息类型不同. 病史和银行证书对于拥有这些信息的个人来说是有价值的. 制定法规是为了保护人们免受信息被盗或泄露可能造成的伤害.
Today, 人们意识到,受监管行业的组织并不是唯一需要保护数据和IT系统的组织. 与您做生意的公司希望确保他们拥有和您使用的数据是安全的. 同样的, 您的员工希望您存储的关于他们的个人身份信息(PII)(如他们的社会安全号码)免受网络攻击者的攻击.
安全遵从的驱动因素
澳门赌场网址大全合规是关于管理风险. 具体来说,就是利用技术和互联网做生意的风险. 网络上的威胁广泛存在,而且数量和复杂程度都在不断增加. 每家公司都是网络坏人的目标,他们在一个庞大的地下生态系统中合作,通过他们渗透的在线账户和窃取的信息赚钱.
我们已经提到,客户和供应商正在降低安全性需求, but 网络保险公司 是否也驱动着安全性遵从性的需求. 有一天,获得网络保险资格意味着你需要遵守特定的安全框架.
框架和安全遵从性
A 合规框架 是否有一套政策和程序来建立技术控制和行为,以确保数据和IT系统的安全. 遵循框架并不一定意味着组织是合规的. 可以将框架看作是为遵从性提供构建块. 事实上,一个遵从性计划可以建立在多个框架之上.
安全框架的作用是建立一种方法来定义安全标准,以及组织将如何满足和维护这些标准. 除了在执行安全措施方面的作用, 框架为不同的实体提供了在交流澳门赌场网址大全标准时使用的通用语言.
安全框架的例子
在合规性法规的创建中有几种不同的安全框架. 有些是行业特有的,有些则不是. 即使框架可能特定于某个行业, 这并不意味着该行业以外的实体不能使用它.
NIST 800 - 53年
这个框架, 由美国国家标准与技术研究院(NIST)建立, 是为了保护联邦机构和他们的供应商利用. NIST 800 - 53年将安全控制分为不同的类别,基于在发生违规事件时将持续的影响程度.
NIST 800 - 171
此框架是为存储和使用受控非机密信息(CUI)的政府实体供应商设计的。. 该框架包括110个需求, 分为包含组织技术的14个家族, 政策和程序.
ISO 27001和27002
此ISO认证证明了组织管理其信息安全管理体系(ISMS)的最佳实践方法。. 该认证是全球公认的,包括定期的安全风险评估,以确定有效性. ISO 27002通过列出可能包含在组织安全计划中的安全控制来补充27001.
CMMC
澳门赌场网址大全成熟度模型认证(CMMC)是针对与国防部有业务往来的公司的多层认证. 第一层通过自我评估认证,第二层和第三层需要第三方审核. CMMC框架中的要求包括NIST 171和
SOC 2 Type 2
最初由美国注册会计师协会(AICPA)开发。, SOC(系统和组织控制)合规性是第三方验证组织安全流程的过程. 审计涵盖信任原则的五个方面:安全性, 可用性, 处理完整性, 保密及私隐. 类型1表示审计代表时间快照. 类型2表明在较长一段时间内对流程的有效性进行了审计.
你如何知道应该遵循什么框架?
如果您的客户或供应商要求您遵循遵从性需求, 它们将指定您应该遵循的框架. 事实上, 他们可能从多个框架中提取需求,以传达他们的安全期望.
你的公司也很有可能有一个实体告诉你要遵循一个特定的框架, 另一个实体需要不同的框架. 您通常可以设置同时满足两个框架的控件. 从一个开始, 然后设置另一个应该是一个更容易的过程,因为部分工作已经完成.
如果您从CMMC 2级或NIST 171开始, 这样,您就可以很好地适应您的客户或供应商所需要的任何其他遵从性框架.
如果不需要遵从性,框架有用吗?
即使客户或供应商还没有要求您遵守他们的安全需求, 采用框架作为您的 安全策略 是个好主意. 框架提供了一种方法来创建和记录您的安全策略,并在您面临遵从性需求时将您的组织置于一个良好的位置.
CMMC 1级框架对于没有遵从性经验的组织来说是一个很好的第一步. 在这个级别上,您可以对您的安全流程和程序进行自我评估. 自我评估并不意味着它很容易. 如果你发现了以前不知道的差距,不要感到惊讶, 包括安全控制和安全专业知识.
合规流程
遵从安全法规所涉及的不仅仅是在列表上勾选复选框. 合规性是关于使您的操作安全,所以有时您将不得不改变您的流程,这需要时间.
让你知道你需要什么样的时间框架, 考虑用12 -18个月的时间来达到ISO 27001标准, 符合NIST 171或CMMC 2级标准. SOC 2 Type 1可能需要6个月,SOC 2 Type 2可能需要一年或更长时间.
合规程序一般分为五个阶段:
- 进行差距分析,以评估您当前的安全状态.
- 回顾差距分析得出的报告和建议.
- 制定一个计划,使你的组织达到框架标准.
- 实施计划以达到合规.
- 在持续的基础上管理安全流程以保持合规性.
获得与安全框架的遵从性
实现与安全框架的遵从性所需的计划将与每个组织一样独特. 游戏中会有一些很容易实现的控制,所以先把它们打出来. 比如 MFA, 适当的端点保护、日志记录和定期评估.
更困难或更复杂的措施将花费更多的时间,通常与改变员工的习惯以及他们如何在电脑上处理任务有关. 例如, 如果他们还没有, 计算机用户将需要对所有东西使用多因素身份验证(MFA).
安全流程包含技术和非技术组件, 所以你的过程的一个主要部分将是记录, 培训, 以及执行人们访问数据和IT系统的政策.
编写安全策略的过程既耗时又复杂,但却是必要的. 如果你发现你的公司远没有在公司内部运作,这也是很有启发的 最小特权原则. 您不仅需要审计所有角色以找出它们拥有的权限, 但是,您可能需要备份并建立新的权限配置文件,以便处理以后的数据访问.
保持合规
实际上,在每个组件就位之前,就已经开始维护组织对安全框架的遵从性. 因此,如果您的差距分析表明您已经设置了一些适当的安全控制, 确保这些都被监控和管理. 同样,在添加每个新的安全层时开始管理它.
管理合规性的很大一部分与确保员工了解安全策略并具备遵守这些策略的能力有关. 只要可能,您可以并且应该使用技术措施自动执行策略. 然而,你需要制定一个计划来审核员工的行为,并提供持续的培训.
除了培训员工如何访问数据和IT系统之外, 澳门赌场网址大全意识培训应包括在您的计划中,以保持合规性. 这种类型的培训教会人们如何识别潜在的网络攻击,以及当他们遇到可疑的东西时该怎么做.
安全合规的成本
当您开始遵循法规时,您应该期望在安全性方面的投资水平会增加. 但是当你考虑到合规的成本, 您还必须考虑不合规的成本,这可能意味着客户的损失或与您作为供应商合作的限制.
此外,变得合规可以降低你的网络风险. 这可以转化为更高的网络保险费率,更不用说在遭遇网络攻击时,你的业务将保持弹性.
当你开始的时候, 您很可能需要添加软件工具,如更好的端点检测和响应(EDR), 扩展日志收集. 您可能需要硬件改进,例如升级防火墙. 如果你的员工一直在使用自己的电脑和手机, 您可能需要提供公司自有的设备.
常规漏洞扫描; 渗透测试, 需要定期进行安全和风险评估,以确保安全控制的有效性.
即使你与澳门赌场网址大全服务提供商合作, 让某人充当您的合规经理是个好主意. 这意味着你需要投入资源让那个人接受培训,这样他们就能协调你与所有相关方的努力.
澳门网赌大全网址如何与客户合作以达到并保持合规
除非你的公司内部有高级的安全专家, 您可能需要与澳门赌场网址大全服务提供商合作,帮助您完成合规流程. 我们不能为您的组织创建和实施定制的合规计划, 但我们将与贵公司合作,确保参与流程的每个人都能履行合规责任. 此外,Bellwether合规分析师将参与每次审计,从而促进审计过程.