编者按: 以下是一篇来自 AuditBoard:
每个组织都必须遵守法规和控制框架. 作为鉴证专业人士, 我们的任务通常是理解遵从性需求, 验证遵从性控制的设计, 然后对控制效果进行测试. 当我们承担这项任务时, 许多控股公司似乎措手不及,并对提供证据感到压力. 为了使这个过程更有效地工作,领先的组织正在采用持续的遵从性. 当寻找一个地方开始与持续遵守, 我们的目标是高度重复的领域,并涉及明确的参数. IT控制是开始持续遵从性对话的好地方. 这篇博文将使用访问控制作为持续遵从性的示例.
持续合规意味着什么?
连续的合规 在持续的基础上,在您的业务环境中维护由框架和法规设置的需求的主动方法是否存在. 作为一种主动的方法, 持续遵从性的目标是认识到需求总是存在的, 不仅仅是在审计期间, 但是作为日常操作的一部分. 有了这种心态, 遵从性控制所有者定期了解这一点, 他们提供的是他们一直保存的证据,而不是争先恐后地被动地创造或出示证据.
我们如何实现持续的法规遵从?
构建通用的内部控制框架是实现持续遵从性的第一步, 尤其是在一个多监管的环境中. 构建遵从性框架交叉通道允许您一次将控件映射到多个框架或法规,并减少或消除冗余测试. 有效的交叉通道允许您更有效地进行测试并减少审核疲劳. 在下面的插图中, 您可以看到一个需要创建IT策略的控件示例. 然后,这个内部控制被交叉引用到五个不同的法规中, 均符合相关要求. 通过测试这个控件一次, 我们满足所有映射的框架和法规的遵从性, 而且我们只需要要一次文件.
仅供说明之用:
|
内部控制 |
ISO 27001:2013(访问控制) |
PCI DSS要求 |
Hipaa 45 CFR§164.308 -行政保障 |
SOX 404 (a)(2) |
GLBA第6801 (b)条 |
|
建立定义规则的策略, 正确使用和维护技术资产的条例和准则,以确保其合乎道德和可接受的使用,并确保健康, 数据的安全和保障, 产品, 设施以及使用它们的人
|
A.9.1.1访问控制策略:需要建立访问控制策略, 根据业务和信息安全要求进行文档化和评审. |
7.确保安全政策和操作程序限制访问持卡人数据的文件, 在使用, 所有受影响的各方都知道. |
实施维护电子健康信息的电子信息系统的技术政策和程序,只允许那些被授予第164条规定的访问权的人或软件程序访问.308(a)(4)[资料查阅管理]. |
(2)包含评估, 截至发行人最近一个会计年度结束时, 发行人财务报告内部控制结构和程序的有效性. |
为促进本条第(a)款中的政策, 本编第6805(a)条所述的每个机构或当局应为受其管辖的金融机构制定有关行政管理的适当标准, 技术, 还有物理保障. |
第二步, 我们期待技术支持来促进提醒和证据收集. 实现 合规性管理软件 自动化关键流程将提供定期设置认证提醒的能力,以提示控件所有者检查控件, 进行必要的更新, 将变更通知其他受影响的人, 收集必要的批准, 最后,提供遵守规定的证据. 在保证方面, 遵从性团队监视丢失数据的异常报告,并审查所提供的支持文档.
心态的改变
通过增强我们的控制文档,包括对多个法规和框架的交叉引用,然后实现持续的遵从性自动化软件, 我们可以减少控制所有者的压力, 简化测试, 将文化思维转变为积极主动, 连续的合规.
