已经开发了许多IT和网络安全框架,以帮助组织实施和验证控制以保护其信息和系统. These frameworks have been built on best practices to prevent or mitigate threats and vulnerabilities; however, 组织面临的挑战是了解哪个框架将为他们的业务提供最大的价值. 这种确定包括考虑和平衡几个因素,包括所使用数据的敏感性, 经营模式, 技术栈和生态系统, 法规或合同要求, 对用户或客户的影响, 一如既往地, 可用的资源. 考虑到这些挑战,组织应该如何进行?
一个常见而适当的答案是风险评估. 这将有助于组织了解业务面临的风险,并根据潜在影响对其进行评估. 但在进行风险评估时,这是一个常见的危险, 其中包括不符合法规和合同要求的风险, 是否以牺牲安全性为代价而将目标偏向合规性. 这在国防等受到高度监管的行业是一个普遍问题, 能源, 医疗保健和金融服务, 不遵守规定的处罚可能严重影响业务的地方, 因此,更多的注意力放在满足需求上,而不是确保控制能够有效地满足现有的威胁.
越来越多的法规要求堆积在澳门赌场官方下载身上,加剧了这种现象. 拥有全球足迹的大型澳门赌场官方下载必须应对与该国隐私、消费者和投资者保护相关的越来越复杂的法规挑战, 州和地方两级, 哪些通常伴随着说明性要求. 这导致需要花费资源来确保复选框被勾选,以满足与业务受约束的所有法定和合同义务相关的遵从性需求.
考虑到这是目前的现实,在不久的将来,任何互惠或监管之间整合的希望都不太可能出现, 组织必须评估如何设计安全实践来满足众多法规,同时有效地解决业务风险. 组织应考虑的一些高层行动包括:
- 从基于目标的方法开始-组织应了解需要达到的目标. 尽管有许多框架,但大多数框架都有许多相同的核心原则. 这些是健全的信息和网络安全计划的基础,尽管控制的措辞可能略有不同,或者一种控制与另一种控制之间可能存在特定的细微差别, 一般来说,他们的目标是实现类似的目标. 例如, 最小权限概念的重点是确保只允许用户和服务访问信息, 执行其工作所需的应用程序和功能. 尽管有许多跨框架的控件来解决这个问题,但核心目标是相同的.
- 完成需求和框架映射-组织应了解任何法规和合同义务的明确要求, 例如多因素身份验证, 静态和传输中的加密以及访问控制. 这将允许他们确定他们必须拥有的是什么,并能够评估(或映射)哪些框架包含能够有效满足这些需求的控件. 某些框架的设计是为了满足特定的规定, 如HITRUST,以响应健康保险流通与责任法案(HIPAA). 当与要达到的目标的知识相结合时, 组织可以设计安全实践,以满足跨框架的多种需求,并与业务流程保持一致.
- 确定额外的酌情控制-如前所述,合规并不意味着组织是安全的. 应实施针对自愿行业惯例或内部要求的额外网络安全和数据保护控制,以满足组织的风险偏好和目标.
- 〇协调沟通内部职能间的协调是任何成功的内部控制系统的关键. 操作等函数, 管理, IT, 法律和法规遵循都服务于不同的目的,但必须协调以实现组织的目标. 类似的, 来自每个功能的涉众应该了解他们在满足内部控制方面所扮演的角色,以及接触点和依赖关系存在的位置. 业务使用的任何框架都必须考虑整个组织的功能贡献.
编者按: 想要进一步了解这个话题,请阅读作者最近在《澳门赌场官方软件》上发表的文章, “网络安全应该受到sox类型的监管吗??”, ISACA杂志,第5卷2022.
ISACA杂志 今年满50岁! 和我们一起庆祝吧,别忘了你还可以收到打印版 访问MyISACA仪表盘 选择加入!
