【TechTarget中国原创】各种类型和规模的企业面临着来自各方面的规则遵守要求,不论是来自诸如健康保险携带和责任法案(HIPAA)、国家隐私法之类的规则,还是支付卡行业数据安全标准(PCI DSS)。
应对不同的要求,防止其发展为大量的规则的最有效的方法就是建立一个具备持续进程和机制的框架。然后可以调整单个程序,满足特定的规则要求。这里有五种最佳方式,可以帮助企业完成多项规则遵守的目标。
建立信息分类和分级程序。所有规则要求的核心都是信息。对诸如HIPAA、PCI、和金融服务业现代化法(Gramm-Leach-Bliley)之类的规则所控制的信息需要加以保护,防止泄露和未授权的访问。为了成功地保护信息,企业必须知道信息的存储位置,信息为什么敏感,以及哪些人可以访问。信息分类决定了数据集和分配拥有权。分级确定了并证明了信息为何敏感,以及必须如何处理。这使企业可以确定处理数据的程序(比如,加密),确定了访问控制的进程和机制,并且建立确定需要审计验证规则的信息的范围。
建立风险管理程序。许多规则要求企业正式地进行风险评估和管理,保护的信息和系统。当企业变革时(比如,合并或收购),这一程序需要在高水平和小规模上(比如,当安装新的软件或系统时)应用。拥有基于认证模型的风险评估和管理框架,比如,卡内基?梅隆大学的OCTAVE模型,可以帮助组织满足来自多项规则中的要求,并且证明加固(或者减弱)控制是合适的。
开发稳定的身份和访问管理程序。每项规则(和审计人员)要求企业证明它们拥有强大的程序,可以控制哪些人可以访问受保护的信息和系统。虽然这很大程度上似乎是一个技术问题,但是从根本上讲,这是一个进程要求。这些规则趋向于强调对提出访问请求适当人员的要求以及所有的请求和批准都需要有查帐索引的要求。虽然,身份和访问管理技术有助于这些活动,但是它们取决于你来开发合适的工作流程,并且选择合适的参与者。
开发日志检查程序和机制。所有的规则要求组织保存并监测日志。合理的完成保存和监测工作,日志记录允许公司追踪并证实哪些用户曾经访问过哪些信息,并且提供证据证明这些信息经过了维护,进程依照档案进行,并且适当地采取特定的保护措施(比如,防火墙和杀毒软件)。不幸的是,企业构建并且维持稳定的日志记录方案时面临许多挑战。不同的日志产品,格式不同,同时存储在不同的系统中,此外,还可能包括过少或过多的信息。企业需要分析他们的日志记录需求,对抗复杂的问题,评估事件和市场上的日志管理产品。对多个平台和产品日志格式的最佳理解可以将分布在不同位置的日志结合在一起,而且可以提供强大的分析工具。
存档管理程序。所有的规则要求完全对管理进程进行存档。然而,虽然许多组织认为这个要求是规则遵守包袱,但这项工作的确有意义。企业负担不起由于只有管理员们知道如何完成关键的管理功能而带来的风险状态。这没有任何捷径;关键是对工作存档,然后进行改进。在存档的时候,存在改进所有的程序的诱惑。这是愚蠢的行为。如果你想要实现遵守规则的目的,那么就需要存档,存档,再存档。