好看的电视剧,雪鹰领主

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

IT合規(guī)性規(guī)劃：如何維護(hù)IT合規(guī)性文檔

每一個(gè)研究信息安全和IT合規(guī)性的專家都知道，其實(shí)IT合規(guī)性文檔對(duì)于正在進(jìn)行的IT合規(guī)性項(xiàng)目的可行性是至關(guān)重要的。那么，為什么這個(gè)重要的任務(wù)常常被忽略，被歸類于那些“以后再做”的事情列表中，并被像垃圾一樣扔在各美國(guó)企業(yè)的桌面上?

記錄合規(guī)性文檔并不麻煩。我們都知道在大型組織中，安全控制的書面說(shuō)明對(duì)于確保合規(guī)性工作的延續(xù)性是非常重要的。在大型組織中，責(zé)任總在部門和部門之間轉(zhuǎn)變，而隨著人事的流動(dòng)，個(gè)人之間的責(zé)任也在變換。與此同時(shí)，很多法規(guī)都明確規(guī)定需要正式的安全控制文件。然而，維護(hù)這個(gè)合規(guī)性文檔是IT合規(guī)性活動(dòng)中最經(jīng)常被忽略的環(huán)節(jié)之一。

在這篇文章中，我們討論一些企業(yè)可以用來(lái)改善合規(guī)性控制文檔的方法，開發(fā)一個(gè)可持續(xù)發(fā)展的計(jì)劃來(lái)維護(hù)安全文檔，并了解許多組織需要遵從的具體文檔要求。

記錄安全控制

任意合規(guī)性文檔的基本目標(biāo)都是維護(hù)一個(gè)組織必須遵守的各項(xiàng)規(guī)章制度所授權(quán)的所有控制目標(biāo)列表，然后根據(jù)這個(gè)有具體控制描述的列表來(lái)實(shí)現(xiàn)控制目的。組織所使用的一種常見方法是通過(guò)逐點(diǎn)詳述的基礎(chǔ)要求來(lái)為項(xiàng)目的各項(xiàng)規(guī)章制度指定一份書面合規(guī)性計(jì)劃。這份文檔的復(fù)雜性取決于包含在每一個(gè)規(guī)章要求里面的細(xì)節(jié)程度。一般來(lái)說(shuō)，合規(guī)性文檔中應(yīng)該包含一個(gè)需求描述，控制描述，最后一次驗(yàn)證控制安全的控制與信息負(fù)責(zé)人的聯(lián)系信息。

比如，一份PCI DSS(數(shù)據(jù)安全標(biāo)準(zhǔn))合規(guī)性計(jì)劃關(guān)于處理要求的 12.1節(jié)應(yīng)該包含以下三個(gè)部分內(nèi)容：

要求：制定、發(fā)布、維護(hù)和傳播一個(gè)安全策略，以解決所有PCI DSS要求。

控制描述：企業(yè)信息安全策略(可在SharePoint上獲取的策略文件夾)的第3節(jié)中包含解決每個(gè)PCI DSS要求的詳細(xì)描述。

負(fù)責(zé)人：Mary Jones， IT策略辦公室，x51242

引文來(lái)源：PCI DSS 12.1.1

最后驗(yàn)證人：2013年6月1日 Tom Abrams

要求：指定、發(fā)布、維護(hù)和傳播一個(gè)安全策略，包括一個(gè)年度威脅和漏洞識(shí)別過(guò)程，并生成一份正式的風(fēng)險(xiǎn)評(píng)估報(bào)告。

控制描述：企業(yè)信息安全策略(可在SharePoint上獲取的策略文件夾)的4.1節(jié)中包含年度正式的風(fēng)險(xiǎn)評(píng)估要求。這個(gè)風(fēng)險(xiǎn)評(píng)估在每年5月進(jìn)行，結(jié)果保存在IT合規(guī)內(nèi)網(wǎng)的風(fēng)險(xiǎn)評(píng)估文件夾中。

負(fù)責(zé)人：Robert Smith，IT安全辦公室，x58294

引文來(lái)源：PCI DSS 12.1.2

最后驗(yàn)證人：2013年6月1日 Tom Abrams

要求：制定、發(fā)布、維護(hù)和傳播一個(gè)安全策略，包含至少每年一次的評(píng)審報(bào)告，或環(huán)境變化時(shí)的評(píng)審報(bào)告。

控制描述：企業(yè)信息安全策略(可在SharePoint上獲取的策略文件夾)的5.2節(jié)中包含年度或環(huán)境變化的評(píng)審要求。這個(gè)評(píng)審報(bào)告用備忘錄形式記錄并保存在IT合規(guī)內(nèi)網(wǎng)的策略評(píng)審文件夾中。

負(fù)責(zé)人：Robert Smith，IT安全辦公室，x58294

引文來(lái)源：PCI DSS 12.1.3

最后驗(yàn)證人：2013年6月1日 Tom Abrams

這些文檔的創(chuàng)建需要合規(guī)性計(jì)劃項(xiàng)目的所有負(fù)責(zé)人之間的協(xié)同努力。在很多大型組織中，創(chuàng)建這些文檔可能是一個(gè)已存在的合規(guī)性或風(fēng)險(xiǎn)管理委員會(huì)的責(zé)任。個(gè)人利益相關(guān)者可能包括信息安全專業(yè)人士、政策分析師、合規(guī)專家和法律顧問(wèn)。一旦合規(guī)性文檔完成，它就是可以驗(yàn)證組織正在進(jìn)行時(shí)項(xiàng)目的合規(guī)性的寶貴資源，也可以在任意審計(jì)問(wèn)題出現(xiàn)時(shí)大大減小解決問(wèn)題的難度。

評(píng)審合規(guī)計(jì)劃

一個(gè)組織的各種合規(guī)性計(jì)劃的年度評(píng)審都應(yīng)該在IT合規(guī)性日程表上被安排作為經(jīng)常性的活動(dòng)，并且和其它重要的合規(guī)期限和里程碑同樣重要。每個(gè)評(píng)審過(guò)程都應(yīng)該遵從個(gè)人“保持距離”狀態(tài)，至少，不應(yīng)該由負(fù)責(zé)合規(guī)計(jì)劃的人來(lái)指導(dǎo)評(píng)審過(guò)程。

評(píng)審工作是一個(gè)審核IT合規(guī)性計(jì)劃上每個(gè)元素的一個(gè)簡(jiǎn)單過(guò)程，驗(yàn)證安全控制列表上的控制目的是否到位，是否有效地滿足合規(guī)性要求。一旦每個(gè)驗(yàn)證完成，評(píng)審者需要更新合規(guī)性計(jì)劃上的“最后驗(yàn)證人”的日期。

年度評(píng)審的第二項(xiàng)工作是將合規(guī)性計(jì)劃和目前的監(jiān)管要求進(jìn)行對(duì)比。年度評(píng)審是一個(gè)很好的檢查和平衡項(xiàng)目，可以確?？刂埔笞陨洗卧u(píng)審以來(lái)并沒有發(fā)生改變，而且IT合規(guī)性計(jì)劃已經(jīng)符合每一個(gè)要求。任何不足的地方應(yīng)該整治修復(fù)，并記錄在更新的合規(guī)計(jì)劃中。

法規(guī)規(guī)定的具體安全文檔要求

當(dāng)開發(fā)企業(yè)的合規(guī)性文檔項(xiàng)目時(shí)，一定要咨詢每個(gè)監(jiān)管該活動(dòng)的法規(guī)規(guī)定的具體文檔要求。這些法規(guī)可能包括你需要納入項(xiàng)目的具體文件要求。

例如，HIPAA(健康保險(xiǎn)流通與責(zé)任法案)和PCI DSS合規(guī)性計(jì)劃都包含一個(gè)法規(guī)，其要求組織進(jìn)行正式的風(fēng)險(xiǎn)評(píng)估來(lái)確保受保護(hù)資料的安全。一個(gè)合規(guī)性計(jì)劃應(yīng)確保的不僅僅是評(píng)審過(guò)程已經(jīng)完成，而且評(píng)審的結(jié)果需要記錄并保存下來(lái)，當(dāng)合規(guī)審計(jì)需要的時(shí)候，相關(guān)人員可以很快取得評(píng)審結(jié)果。一個(gè)常用的方法是使用SharePoint站點(diǎn)來(lái)保存此文檔。

此外，大多數(shù)信息安全法規(guī)要求組織擁有一個(gè)包含特定元素的書面信息安全計(jì)劃。事實(shí)的確如此，甚至一些模糊的法規(guī)，如馬薩諸塞州的201 CMR 17.00法規(guī)，監(jiān)管收集馬薩諸塞州居民個(gè)人信息的各機(jī)構(gòu)。這條法規(guī)列舉了大量需要書面計(jì)劃記錄下來(lái)的特定要求。因此，你可能發(fā)現(xiàn)你需要調(diào)整你的文檔來(lái)滿足各種不同的法規(guī)要求。

盡管記錄IT合規(guī)肯定很枯燥，但是對(duì)于確保合規(guī)性項(xiàng)目的順利和有效運(yùn)行是至關(guān)重要的。文檔計(jì)劃除了作為法規(guī)遵從項(xiàng)目所需的組件之外，它讓組織可以簡(jiǎn)單地驗(yàn)證目前合規(guī)性項(xiàng)目是否滿足所有法規(guī)，并且簡(jiǎn)化組織和監(jiān)管機(jī)構(gòu)、設(shè)計(jì)師和其他第三方關(guān)于合規(guī)性計(jì)劃交流的過(guò)程。

當(dāng)前文章：IT合規(guī)性規(guī)劃：如何維護(hù)IT合規(guī)性文檔
文章網(wǎng)址：http://fisionsoft.com.cn/article/cogpohp.html

新聞中心

其他資訊