IT合規性規劃:如何維護IT合規性文檔
每一個研究信息安全和IT合規性的專家都知道,其實IT合規性文檔對于正在進行的IT合規性項目的可行性是至關重要的。那么,為什么這個重要的任務常常被忽略,被歸類于那些“以后再做”的事情列表中,并被像垃圾一樣扔在各美國企業的桌面上?
記錄合規性文檔并不麻煩。我們都知道在大型組織中,安全控制的書面說明對于確保合規性工作的延續性是非常重要的。在大型組織中,責任總在部門和部門之間轉變,而隨著人事的流動,個人之間的責任也在變換。與此同時,很多法規都明確規定需要正式的安全控制文件。然而,維護這個合規性文檔是IT合規性活動中最經常被忽略的環節之一。
在這篇文章中,我們討論一些企業可以用來改善合規性控制文檔的方法,開發一個可持續發展的計劃來維護安全文檔,并了解許多組織需要遵從的具體文檔要求。
記錄安全控制
任意合規性文檔的基本目標都是維護一個組織必須遵守的各項規章制度所授權的所有控制目標列表,然后根據這個有具體控制描述的列表來實現控制目的。組織所使用的一種常見方法是通過逐點詳述的基礎要求來為項目的各項規章制度指定一份書面合規性計劃。這份文檔的復雜性取決于包含在每一個規章要求里面的細節程度。一般來說,合規性文檔中應該包含一個需求描述,控制描述,最后一次驗證控制安全的控制與信息負責人的聯系信息。
比如,一份PCI DSS(數據安全標準)合規性計劃關于處理要求的 12.1節應該包含以下三個部分內容:
要求:制定、發布、維護和傳播一個安全策略,以解決所有PCI DSS要求。
控制描述:企業信息安全策略(可在SharePoint上獲取的策略文件夾)的第3節中包含解決每個PCI DSS要求的詳細描述。
負責人:Mary Jones, IT策略辦公室,x51242
引文來源:PCI DSS 12.1.1
最后驗證人:2013年6月1日 Tom Abrams
要求:指定、發布、維護和傳播一個安全策略,包括一個年度威脅和漏洞識別過程,并生成一份正式的風險評估報告。
控制描述:企業信息安全策略(可在SharePoint上獲取的策略文件夾)的4.1節中包含年度正式的風險評估要求。這個風險評估在每年5月進行,結果保存在IT合規內網的風險評估文件夾中。
負責人:Robert Smith,IT安全辦公室,x58294
引文來源:PCI DSS 12.1.2
最后驗證人:2013年6月1日 Tom Abrams
要求:制定、發布、維護和傳播一個安全策略,包含至少每年一次的評審報告,或環境變化時的評審報告。
控制描述:企業信息安全策略(可在SharePoint上獲取的策略文件夾)的5.2節中包含年度或環境變化的評審要求。這個評審報告用備忘錄形式記錄并保存在IT合規內網的策略評審文件夾中。
負責人:Robert Smith,IT安全辦公室,x58294
引文來源:PCI DSS 12.1.3
最后驗證人:2013年6月1日 Tom Abrams
這些文檔的創建需要合規性計劃項目的所有負責人之間的協同努力。在很多大型組織中,創建這些文檔可能是一個已存在的合規性或風險管理委員會的責任。個人利益相關者可能包括信息安全專業人士、政策分析師、合規專家和法律顧問。一旦合規性文檔完成,它就是可以驗證組織正在進行時項目的合規性的寶貴資源,也可以在任意審計問題出現時大大減小解決問題的難度。
評審合規計劃
一個組織的各種合規性計劃的年度評審都應該在IT合規性日程表上被安排作為經常性的活動,并且和其它重要的合規期限和里程碑同樣重要。每個評審過程都應該遵從個人“保持距離”狀態,至少,不應該由負責合規計劃的人來指導評審過程。
評審工作是一個審核IT合規性計劃上每個元素的一個簡單過程,驗證安全控制列表上的控制目的是否到位,是否有效地滿足合規性要求。一旦每個驗證完成,評審者需要更新合規性計劃上的“最后驗證人”的日期。
年度評審的第二項工作是將合規性計劃和目前的監管要求進行對比。年度評審是一個很好的檢查和平衡項目,可以確保控制要求自上次評審以來并沒有發生改變,而且IT合規性計劃已經符合每一個要求。任何不足的地方應該整治修復,并記錄在更新的合規計劃中。
法規規定的具體安全文檔要求
當開發企業的合規性文檔項目時,一定要咨詢每個監管該活動的法規規定的具體文檔要求。這些法規可能包括你需要納入項目的具體文件要求。
例如,HIPAA(健康保險流通與責任法案)和PCI DSS合規性計劃都包含一個法規,其要求組織進行正式的風險評估來確保受保護資料的安全。一個合規性計劃應確保的不僅僅是評審過程已經完成,而且評審的結果需要記錄并保存下來,當合規審計需要的時候,相關人員可以很快取得評審結果。一個常用的方法是使用SharePoint站點來保存此文檔。
此外,大多數信息安全法規要求組織擁有一個包含特定元素的書面信息安全計劃。事實的確如此,甚至一些模糊的法規,如馬薩諸塞州的201 CMR 17.00法規,監管收集馬薩諸塞州居民個人信息的各機構。這條法規列舉了大量需要書面計劃記錄下來的特定要求。因此,你可能發現你需要調整你的文檔來滿足各種不同的法規要求。
盡管記錄IT合規肯定很枯燥,但是對于確保合規性項目的順利和有效運行是至關重要的。文檔計劃除了作為法規遵從項目所需的組件之外,它讓組織可以簡單地驗證目前合規性項目是否滿足所有法規,并且簡化組織和監管機構、設計師和其他第三方關于合規性計劃交流的過程。
