实际上, 围绕需求与需求之间的主题往往存在大量的混淆. 控制. 我们都非常熟悉符合美国国家标准与技术研究院(NIST)的各种营销策略, 支付卡行业(PCI), 健康保险流通与责任法案(HIPAA), 国际标准化组织(ISO), 和更多的. 相反,在这个列表中,你能描述一下哪些是需求或控制吗? 如果不是, 我们如何知道我们是否真正合规,或者是否有适当的保障措施或对策?
图1:基础:需求与控制
需求
什么是需求?? 需求通常是外部或内部强加的命令,如法律, 规定, 合同义务,甚至内部政策. 基于你的组织所从事的活动, 由于该组织数据的重要性和敏感性,它可能受到各种任务的限制. 需求的例子包括HIPAA, 支付卡行业数据安全标准(PCI DSS)和通用数据保护条例(GDPR). 需求通常不是规定性的,但与不遵守相关的罚款和处罚却很大. 简而言之,需求告诉我们要澳门赌场官方软件,但它们并没有很好地告诉我们如何去做.
控制
控制是组织用来在澳门赌场官方下载的风险偏好和容忍度范围内减少已识别风险的保障措施和对策. 控制是应用于处理风险的一步一步的程序. 在这种情况下,控制可以处理不合规的风险. 我们把控制分为侦查、预防和纠正. 此外,它们还包括各种类型,如管理、技术和物理控制. 最后,我们将控件分类为自动实现或手动实现. In 图2, 我已经演示了如何测量控制有效性,并将其与NIST的功能联系起来. 作为鉴证专业人士,我们必须确保控制类别、类型和类别的适当平衡. 该策略帮助我们将风险控制在可接受的水平内,并确定适当的补偿控制.
图2 -柯蒂斯控制效能图
好吧,这对我有什么帮助?
理解需求和控制之间的区别对于保证专业人员来说是非常重要的,因为对需求的误解会导致差距并产生风险. 现在我们知道了需要控制来处理需求, 我们还需要了解另一个重要因素. 需求和控制之间并不总是一对一的映射. 例如,考虑 附录D中的HIPAA安全规则要求.
图3-NIST 800-66附录D: HIPAA标准与实施规范目录
一对一映射示例
让我们花点时间来解释一下 图3. 164.308(a)(1)(i)要求澳门赌场官方下载实施政策和程序以防止, 检测, 包含, 纠正违反安全规定的行为. 这个需求告诉我们什么是强制的,而不是如何实现必要的过程. NIST 800-53控制提供了如何满足这一要求的详细信息. 这一次,HIPAA是164.308(a)(1)(i)要求只映射到一个NIST控制,即RA-1.
RA-1 提供以下指导以满足HIPAA要求. 组织应:
- 制定、记录并向组织定义的角色传播以下内容:
- 风险评估政策 这就达到了目的, 范围, 角色, 责任, 管理承诺, 组织实体之间的协调和遵从.
- 风险评估程序 促进风险评估政策和相关风险评估控制的实施
- 审查和更新当前:
- 风险评估政策 在组织定义的频率上
- 风险评估程序 在组织定义的频率上
如你所见, NIST更具说明性,并为组织提供了更多关于如何解释外部需求(如HIPAA安全规则)的模糊性的具体信息. 另外, NIST的补充指南为组织提供了上下文和对安全控制的更好理解. 最后,大多数控制都有引用来帮助组织创建自己的过程. 例如:
一对多映射示例
在第二个例子中,我们可以看到164.308(a)(1)(ii)(a)要求组织进行风险评估,以识别受电子保护健康信息(ePHI)的风险. 再一次,HIPAA并没有提供规定性的指导. 然而,这个需求映射到三个NIST控件,它们包含 RA-2, RA-3 和 RA-4,这实际上意味着我们可以利用这三个控件来满足HIPAA要求.
RA-2, RA-3, RA-4 提供以下指导以满足HIPAA要求:
RA-2组织机构:
- 根据适用的法规对信息和信息系统进行分类.g. HIPAA)
- 记录安全分类结果
- 确保授权官员审查并批准安全分类决策
RA-3组织机构:
- 进行风险评估
- 将风险评估结果记录在安全计划或风险评估报告中
- 按照组织定义的频率审查风险评估结果
- 向组织定义的角色传播风险评估结果
- 根据组织定义的频率或发生重大变更时更新风险评估.
RA-4撤回:并入RA-3
结论
实际上, 是否符合PCI DSS标准, GDPR或HIPAA, 重要的是对每一项任务制定一个综合办法. 像NIST 800-53这样的控制框架为组织提供了一个聚合的方法,通过利用相同的控制集来符合适用的需求. 最后, 更多的战术指导,如信息安全中心(CIS)的关键安全控制,为我们提供了技术参数和基准. CIS的技术配置有助于确保我们的信息系统, 应用程序和基础设施符合外部需求.
编者按: 要进一步了解这个话题,请阅读Blake Curtis最近在《澳门赌场官方下载》上发表的文章。不良IT审计计划的影响和降低审计风险,《澳门赌场官方软件》,2020年第3期.
