是時(shí)候?qū)Π踩院秃弦?guī)性進(jìn)行不同的思考了。合規(guī)不是安全。事實(shí)上，您可以合規(guī)但不安全。合規(guī)性并不總能實(shí)現(xiàn)安全。

為當(dāng)今的安全挑戰(zhàn)做準(zhǔn)備

在過去的二十年里，信息技術(shù)取得了突飛猛進(jìn)的發(fā)展，該行業(yè)在 2019 年將達(dá)到 5 萬億美元。伴隨著這種巨大的增長而來的是復(fù)雜的新合規(guī)和安全挑戰(zhàn)。業(yè)內(nèi)人士知道，了解和控制公司如何共享、存儲(chǔ)和接收信息變得越來越重要。IT 合規(guī)框架現(xiàn)已到位，以確保對數(shù)據(jù)的這種監(jiān)管安全進(jìn)行，但它們可能存在很大差異。

將其分解為基礎(chǔ)、變得安全和合規(guī)意味著保護(hù)信息資產(chǎn)、防止損壞、保護(hù)它和檢測盜竊。這些是網(wǎng)絡(luò)安全團(tuán)隊(duì)的主要口頭禪和任務(wù)，因?yàn)樗麄儗?shí)施框架，這些框架主要是技術(shù)來實(shí)現(xiàn)合規(guī)性。如果公司遵循合規(guī)框架并具備質(zhì)量安全措施，則可以相應(yīng)地保護(hù)其數(shù)據(jù)。為了獲得適當(dāng)?shù)谋Ｗo(hù)，公司必須了解合規(guī)性與安全性不同。但是，安全性是合規(guī)性的重要組成部分。

合規(guī)性和安全性有什么區(qū)別？

合規(guī)性側(cè)重于公司處理和存儲(chǔ)的數(shù)據(jù)類型以及適用于其保護(hù)的監(jiān)管要求（框架）。一家公司可能必須與多個(gè)框架保持一致，而理解這些框架可能很困難。他們的主要目標(biāo)是管理風(fēng)險(xiǎn)并超越信息資產(chǎn)。他們監(jiān)督政策、法規(guī)和法律，涵蓋物理、財(cái)務(wù)、法律或其他類型的風(fēng)險(xiǎn)。合規(guī)性意味著確保組織遵守最低限度的安全相關(guān)要求。

安全性是一套明確的技術(shù)系統(tǒng)、工具和流程，用于保護(hù)和保護(hù)企業(yè)的信息和技術(shù)資產(chǎn)。盡管合規(guī)性是一項(xiàng)關(guān)鍵的業(yè)務(wù)要求，但合規(guī)性并不是安全團(tuán)隊(duì)的主要關(guān)注點(diǎn)或特權(quán)。例如，安全性可以包括物理控制以及誰可以訪問網(wǎng)絡(luò)。專業(yè)供應(yīng)商提供的標(biāo)準(zhǔn)化方法和工具使安全性比合規(guī)性更簡單。另一方面，合規(guī)性可以是多方面的，并且基于公司的數(shù)據(jù)類型和安全流程。

基于特定框架的合規(guī)性和安全性

合規(guī)性研究公司的安全流程。它及時(shí)詳細(xì)介紹了它們的安全性，并將其與一組特定的監(jiān)管要求進(jìn)行了比較。這些要求以立法、行業(yè)法規(guī)或根據(jù)最佳實(shí)踐創(chuàng)建的標(biāo)準(zhǔn)的形式出現(xiàn)。

具體而言，合規(guī)框架包括：

HIPAA

HIPAA（健康保險(xiǎn)流通與責(zé)任法案）適用于健康保險(xiǎn)行業(yè)的公司。它規(guī)定了公司應(yīng)如何處理和保護(hù)患者的個(gè)人醫(yī)療信息。HIPAA 合規(guī)性要求管理此類信息的公司安全地執(zhí)行此操作。該法案有五個(gè)部分，稱為標(biāo)題。標(biāo)題 2 是適用于信息隱私和安全的部分。最初，HIPAA 旨在標(biāo)準(zhǔn)化健康保險(xiǎn)行業(yè)處理和共享數(shù)據(jù)的方式。它現(xiàn)在還增加了管理對這些信息的電子違規(guī)行為的規(guī)定。

索克斯

Sarbanes-Oxley 法案（也稱為 SOX）適用于公司對上市公司財(cái)務(wù)數(shù)據(jù)的維護(hù)和維護(hù)。它定義了必須保留哪些數(shù)據(jù)以及需要保留多長時(shí)間。它還概述了對數(shù)據(jù)的破壞、偽造和更改的控制。SOX 試圖提高企業(yè)責(zé)任并增加責(zé)任。該法案規(guī)定，高層管理人員必須證明其數(shù)據(jù)的準(zhǔn)確性。所有上市公司都必須遵守 SOX 及其對財(cái)務(wù)報(bào)告的要求。正確分類數(shù)據(jù)、安全存儲(chǔ)并快速找到數(shù)據(jù)是其框架的關(guān)鍵要素。

PCI DSS

PCI DSS 合規(guī)性是由一組公司創(chuàng)建的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，這些公司希望標(biāo)準(zhǔn)化他們?nèi)绾伪Ｗo(hù)消費(fèi)者的財(cái)務(wù)信息。

作為標(biāo)準(zhǔn)的一部分的要求是：

• 安全的網(wǎng)絡(luò)
• 受保護(hù)的用戶數(shù)據(jù)
• 強(qiáng)大的訪問控制和管理
• 網(wǎng)絡(luò)測試
• 定期審查信息安全政策

該標(biāo)準(zhǔn)有四個(gè)合規(guī)級別。公司每年完成的交易數(shù)量決定了他們必須遵守的水平。

SOC 報(bào)告

SOC 報(bào)告是處理公司財(cái)務(wù)或個(gè)人信息管理的服務(wù)組織控制報(bào)告。存在三種不同的 SOC 報(bào)告。SOC 1 和 SOC 2 是不同的類型，SOC 1 適用于財(cái)務(wù)信息控制，而SOC 2 合規(guī)和認(rèn)證涵蓋個(gè)人用戶信息。SOC 3 報(bào)告可公開訪問，因此不包含有關(guān)公司的機(jī)密信息。這些報(bào)告適用于特定時(shí)期，新報(bào)告會(huì)考慮任何早期發(fā)現(xiàn)。美國特許公共會(huì)計(jì)師協(xié)會(huì) (AICPA) 將它們定義為 SSAE 18 的一部分。

ISO 27000 系列

ISO 27000 系列標(biāo)準(zhǔn)概述了保護(hù)信息的最低要求。作為國際標(biāo)準(zhǔn)化組織標(biāo)準(zhǔn)體系的一部分，它決定了行業(yè)開發(fā)信息安全管理系統(tǒng) (ISMS) 的方式。合規(guī)性以證書的形式出現(xiàn)。十幾個(gè)不同的標(biāo)準(zhǔn)組成了 ISO 27000 系列。

安全涵蓋您業(yè)務(wù)的三個(gè)主要方面

1. 網(wǎng)絡(luò)

網(wǎng)絡(luò)使我們能夠在很遠(yuǎn)的距離內(nèi)快速共享信息。這也使他們面臨風(fēng)險(xiǎn)。被破壞的網(wǎng)絡(luò)會(huì)對公司造成無法估量的損害。個(gè)人信息的數(shù)據(jù)泄露可能會(huì)損害公司的形象。數(shù)據(jù)丟失或破壞也可能使公司承擔(dān)刑事責(zé)任，因?yàn)樗鼈儾辉僮袷胤ㄒ?guī)。保護(hù)網(wǎng)絡(luò)是安全專業(yè)人員面臨的最艱巨的任務(wù)之一。網(wǎng)絡(luò)安全工具可防止未經(jīng)授權(quán)訪問系統(tǒng)。防火墻和內(nèi)容過濾軟件保護(hù)數(shù)據(jù)，因?yàn)樗鼈冎辉试S有效用戶使用。

2. 設(shè)備

連接到公司網(wǎng)絡(luò)的用戶個(gè)人設(shè)備可以將未知代碼注入系統(tǒng)。同樣，點(diǎn)擊錯(cuò)誤的電子郵件附件也會(huì)迅速傳播惡意軟件。防病毒和端點(diǎn)掃描工具可阻止攻擊者訪問設(shè)備。網(wǎng)絡(luò)釣魚攻擊和病毒具有已知的特征，使其可檢測和預(yù)防。按設(shè)備、用戶和設(shè)施劃分對網(wǎng)絡(luò)的訪問限制了惡意軟件的傳播。

3. 用戶

粗心的用戶對任何公司來說都是一個(gè)重大風(fēng)險(xiǎn)。他們不知道他們已被入侵，也不知道他們正在啟用在線攻擊。網(wǎng)絡(luò)釣魚電子郵件現(xiàn)在造成了 91% 的成功網(wǎng)絡(luò)攻擊。訓(xùn)練用戶注意可以幫助限制無害但危險(xiǎn)的行為。如果員工知道他們?nèi)粘Ｊ褂眉夹g(shù)所涉及的風(fēng)險(xiǎn)，培訓(xùn)可以提高安全性。

合規(guī)與安全：完美聯(lián)盟

安全是所有公司都需要的。在 IT 基礎(chǔ)架構(gòu)方面，大多數(shù)人已經(jīng)擁有某種形式的保護(hù)。這甚至可能意味著在工作站上安裝防病毒軟件或使用基本的 Windows 防火墻。將安全工具轉(zhuǎn)變?yōu)楹弦?guī)的 IT 系統(tǒng)需要付出更多努力。進(jìn)行合規(guī)審計(jì)時(shí)，公司需要證明其符合監(jiān)管標(biāo)準(zhǔn)。

以系統(tǒng)和可控的方式創(chuàng)建一個(gè)系統(tǒng)，即安全性和合規(guī)性的聯(lián)盟是降低風(fēng)險(xiǎn)的第一步。安全團(tuán)隊(duì)將實(shí)施系統(tǒng)控制以保護(hù)信息資產(chǎn)。然后合規(guī)團(tuán)隊(duì)可以驗(yàn)證他們是否按計(jì)劃運(yùn)行。這種類型的聯(lián)盟將確保安全控制不會(huì)萎縮，并且所有必需的文檔和報(bào)告都可用于審計(jì)。

安全路徑入門

滿足特定框架的合規(guī)性可以建立對公司的信任。盡管法規(guī)將成為合規(guī)背后的驅(qū)動(dòng)力，但隨之而來的額外好處是有幫助的。對安全程序和系統(tǒng)的正式評估可以突出需要澄清和理解的關(guān)注領(lǐng)域。盡管管理層應(yīng)該信任管理員做出影響公司基礎(chǔ)設(shè)施的關(guān)鍵決策，但了解所有有關(guān)安全性的信息仍取決于管理層。在查看這些決策時(shí)，使用合規(guī)框架來發(fā)現(xiàn)安全缺陷是必不可少的。

合規(guī)之路始于：

• 列出當(dāng)前使用的安全工具。
• 對處理的信息類型進(jìn)行風(fēng)險(xiǎn)評估。
• 研究與框架相關(guān)的要求。
• 分析當(dāng)前控制在要求方面的差距。
• 規(guī)劃解決重大缺陷的前進(jìn)方向。
• 測試不同解決方案的效率。

將這些步驟應(yīng)用于系統(tǒng)后，進(jìn)行定期評估是成功的關(guān)鍵。合規(guī)性和安全性需要齊頭并進(jìn)；它不一定是安全與合規(guī)。他們齊心協(xié)力；如何？使用合規(guī)框架，評估安全系統(tǒng)，糾正缺陷，然后開始定期進(jìn)行評估。

安全與合規(guī)：共生關(guān)系

安全性和合規(guī)性是每個(gè)部門的必要組成部分。了解每種方法與數(shù)據(jù)安全的關(guān)系至關(guān)重要。IT 行業(yè)嚴(yán)重依賴公眾的信任，為公眾提供信息服務(wù)的公司需要享有盛譽(yù)。安全故障可能會(huì)破壞業(yè)務(wù)。安全性和合規(guī)性是必要和關(guān)鍵系統(tǒng)的不同組成部分。了解每種方法與數(shù)據(jù)保護(hù)的關(guān)系至關(guān)重要。雙方相互依賴，以將數(shù)據(jù)安全性保持在最高水平。合規(guī)性本身并不等于安全性。兩者之間需要有一種共生關(guān)系。當(dāng)公司通過其內(nèi)部安全措施滿足合規(guī)框架時(shí)，兩者的實(shí)施都將保持?jǐn)?shù)據(jù)安全以及公司的完整性和聲譽(yù)完好無損。