编者按: 以下是AuditBoard赞助的一篇博文.
在一些组织中,信息安全和遵从性是孤立的, 但是功能之间更大的协作减少了安全风险并提高了遵从性. 协作将这些功能从成本中心转变为真正的业务推动者, 但是,信息安全和法规遵从如何相互依赖地工作以提供效率和价值呢?
- 信息安全负责人问: 我如何确保遵从性不只是一个打勾的练习?
- 合规负责人会问: 我们如何与信息安全战略计划和路线图保持一致,以确保解决合规性方面的差距?
- 这两个职能部门的领导要求: 我们有什么合作的机会,这将有利于整个组织?
我们根据自己在审计委员会担任信息安全副总裁和安全合规总监的经验,讨论我们的每个职能部门的贡献,以及我们的团队如何协同工作以确保战略一致.
增加价值的合作机会
我们发现我们的合规性和信息安全功能一起增加了更多的价值. 事实上,安全框架标准本身可能会推动伙伴关系的发展. 例如, 我们的信息安全计划是基于国际标准组织(ISO)和国家研究所(NIST)的框架. ISO的框架特别强调整个组织的问责制, 促进了合作机会. 通过各种努力, 我们合作创造更多价值, 这表明合规性和信息安全都不仅仅是成本中心. 这里有两个例子:
- 共同构建业务案例和预算; 合规性可以帮助确定在客户合同或合规性框架中进行安全投资的理由,这些框架使收入产生的安全性不仅仅是成本中心. 随着我们的成长, 我们已经获得了更多的客户,他们的监管要求受到国际法规的约束. 合规性和信息安全协同工作,以驾驭来自多个司法管辖区的重叠法规,同时满足新的客户需求并实现有利于所有客户的新的安全控制.
- 制订保安措施以减低风险: 信息安全团队可能对澳门赌场官方下载可能面临的威胁有最好的了解, 但是,合规可以提供“行业标准”和最佳实践,以实现客户和监管机构期望的控制措施,以减轻这些威胁. 以这种方式, 法规遵循可以扮演产品经理的角色, 帮助细化产品安全需求. 合规性和信息安全共同确定降低风险的最佳控制措施.
- 连接数据,实现全面可见性: 有许多信息安全功能和控制需要组织资产的全面视图才能有效:漏洞管理, 端点检测, 零信任访问控制, 还有更多. 在评估范围确定期间,法规遵循对全面可见性也有类似的需求. 没有比在没有任何安全控制的情况下发现流氓资产更容易导致审计失败的了. 结果是, 合规性和信息安全有很好的机会合作并结合有关您负责保护的资产范围的信息,以使其与风险优先级保持一致.
- 治理和风险管理杠杆: 取决于组织结构, 信息安全和法规遵从团队可能并不总是具有一致或有效地影响风险意识决策的杠杆作用. 合规团队可以从首席信息安全官在制定政策或执行风险接受问责制方面的权威中受益,从而增加他们的影响力. 遵从性团队倾向于在业务中拥有更紧密的伙伴关系, 信息安全团队的影响力同样可以通过利用法规遵从团队与法律部门的牢固关系来提高, 财务及采购.
合规性和协作中的信息安全
当信息安全和法规遵从功能协作时,整个澳门赌场官方下载都会受益. 常见的协作机会包括确定控制的优先级, 进行风险评估和量化风险.
- 优先级控制: 在整个业务中拥有牢固的关系, 合规性可以为各种记录创建单一的事实来源, 比如资产, 人, 和数据. 一旦确定, 事实来源为信息安全提供了确定优先级和应用安全控制的方法.
- 进行风险评估: 许多安全框架表明需要进行风险评估. 技术资产当然是其中的一部分. 例如,对于ISO框架,遵从性启动风险评估. 信息安全可以将风险分配给结构化的关键资产 IT风险管理(ITRM)流程. ITRM使全面了解资产状况成为可能, 因此,识别高风险区域变得很简单.
- 量化风险: 我们看到了一种更老的运动, "影响与可能性"的风险评估方法, 定量风险评估. 信息安全可以提供历史事件数据,为风险可能性的计算提供信息,并通过精确定位源自每个事件的控制故障来支持问题管理.
促进风险知情决策的协作
信息安全和法规遵从性存在巨大的合作机会,可以减少安全风险并促进法规遵从性工作. 可进一步促进合规性与资讯保安之间的紧密合作 法规遵从管理技术 简化在证据收集、差距分析和问题补救方面的合作. 在具有多个安全框架的环境中, 两个团队都可以从对框架和控制评估的实时可见性中获益. 通过采用促进协作的流程, 这些功能可以将自己从成本中心转变为真正的业务推动者.
