近年来,要求有效的信息技术治理项目增加了。信息安全和风险管理专业人士面临着不断增长的法律、法规和行业标准——PCI DSS,萨班斯-奥克斯利法案,HIPAA和红旗规则只是几个例子,每增加一套看似无穷无尽的需求。组织试图遵守这些规定,各种活动会变得混乱,相互矛盾,难以管理。
很明显,这些法律、法规和标准是创建一个特定的,值得称赞的目标——保护一个特定类型的数据资产,如果受损或损坏,可能导致损害控制组织或原始实体。不可否认的是,这些有价值的数据元素,他们应该得到保护。这个问题源自这种需求,然而,如何解决这种保护是全面的和可操作的方法。
为了解决个人或团体的需求相结合,组织经常采用各种安全或风险管理“框架”。这些项目应用的全面列表控件,标准,或实践,正确实现时,要求提供一个组织的能力,减少关键数据的整体风险。然而,类型的数据不同,似乎有人每天发布一个新的“最佳实践”。与不同的控制、覆盖的广度和水平的严密性和细节,这些框架的一个一致的质量是缺乏一致性。
无论如何,在一天结束的时候,每个框架(或需求集函数框架组件)是用于解决一般信息技术需求,政府特定的需求,以及industry-driven标准。作为一个规则,他们高层次的需求,指定“必须做”而不是“如何必须完成”。为了确保他们仍然有效的景观与不断变化的信息安全威胁,这些控制集需要一个持续的过程的实现,审查和安全程序的更新。
在考虑这些问题,尝试采用这些控制集似乎是得不偿失。要求实现合规在现代商业环境是至关重要的,然而,组织发现这需要足够的理由做出承诺。价格不符合要求的控制可以直接的和昂贵的,从直接罚款和间接成本,如消费者信心指数和市场份额的损失。组织寻求符合规定的控制必须解决这个努力的方式地址不仅立即服从,也持续的坚持。这就是框架变得至关重要。
框架预防意外控制缺口。特定的法律和监管标准提供有限的需求,必须加以解决。他们不一定解决其他元素,支持这些需求或地区直接赞美他们,确保更迅速成功的治理计划。框架的协助,提供一组目标,由社区开发和审查,定义最佳实践,否则可能会错过。
此外,使用一个全面的框架显示了一个欲望超过最小的努力。在遵守一套严格的控制而不是所需的活动,组织显示了一个水平的努力超越裸露的标准。
确定这些好处,框架怎么可能有损害吗?简单地说,没有一个工具可以覆盖一切。
框架范围内严格的只有他们的报道。然而,HIPAA框架不会解决持卡人数据需求。COBIT框架,而完全有效的解决SOX合规所需的通用计算控制,不提供超出了安全程序地址隐私需求。框架是特定于他们生活的世界。
框架,正如之前提到的,典型的高水平,强调控制而不是实现过程需要实现遵从性。控制和执行之间的差距必须关闭为了解决框架要求,但意味着组织使用为此有很大区别。两个像实体仔细遵循相同的框架保护相同的数据元素可能有显著不同的安全姿势。
框架通常有一个元素,需要定期执行风险评估。然而,由于定义的严格控制集,这些风险评估可以集中在一组控制太紧,让别人没有解决。框架,目的是提高组织的总体安全有效的百叶窗组织威胁,可能会积极地试图妥协敏感信息。
在回顾优缺点,看来可能没有任何所谓的一个有效的框架。这很可能是真的。因为这种情况下,然而,它变成了一个组织的关键理解他们的理想框架实际上可能是其他几个的组合。一个公司只有一个单一的安全实践,但是他们可能对许多不同的法律法规。正在进行的审查和审计要求实体试图遵循多个不同的框架迅速压倒甚至混淆最专门的信息安全人员。有限的预算很快迫使组织优先工作,但需要解决整体威胁景观不会变得不那么重要。最后,常常需要多个框架,但是管理的任务变得几乎不可能实现。
在多个框架作为单独的实体需要付出巨大的努力,和很少是有效的。太多竞争优先级和时间往往会导致无法获得任何形式的有效的合规。然而,一个简单的事实是一个框架只不过是一系列的控制目标,捆绑解决一个目的。
目的改变,没有理由,安全框架不能做同样的事情。我们的目标是创建一个有效的治理计划。实现在一个有效的和可管理的方式是困难的,但它可以通过仔细规划混合控制的一种方法,精心控制范围的数据资产,和统一的过程。
等一系列概念用于方法的合并两个或两个以上的框架是下面列出的。这决不是决定性的,但课程在任何方法是有效的。
1。组织必须了解哪些框架或框架元素需要地址,至少,关键的安全问题。当处理控制要求,更不一定是更好的,和每个额外的控制实体代表了投资时间,金钱和精力。
2。选择一个基础框架使用。一个组织应确定一个基础框架包含额外的控制。这个框架应该广泛是可行的,只允许最小,更具体的需要解决。
3所示。所确定的框架元素分解根据功能区域和控制组合到家庭或层。不同的框架通常包含等效控制在不同的标题或重点领域。通过了解控件映射到另一个,现有的控制往往只是增强而不必遵循完全不同的需求。
4所示。识别关键控制,满足最严格的要求。在很多情况下,会有必须完成的控制目标,混杂着额外的类别,只是“好”。合规需求所需的行动项,应归于更为重要。
5。定义控制编号系统和术语。为了便于评价和跟踪,结合框架元素应该被索引的方式,让他们被视为整体的部分。此外,正式的控制语言应该用于解决概念在新框架,避免混乱,合规工作开始。
6。确定受影响的数据。正如它是必要的第一步确定需要控制和框架,有必要扭转过程,确保所有的元素数据,收集到的控件。大多数的这些信息是已知的运动,但一眼巩固需求经常识别额外的数据源后,仓库和系统。
7所示。了解数据流。一样重要的是理解数据元素的影响,同样重要的是理解这些数据元素驻留,为什么。信息如何收集、处理、存储和传输是至关重要的决定作用系统,应用程序和过程必须遵守的新框架。
8。正式定义数据控制的框架的范围。识别数据流模式和实践后,合并服务器列表,系统、应用程序、流程和治理项目必须被创建,然后回顾了对预期的值。
9。减少数据范围积极。每个数据控制元件是一种投资,钱,和努力。为每个元素也是如此作用数据处理的综合框架。现有的业务流程和需求应该被用来确定数据被使用或保留在不恰当的或不需要的区域。在可能的情况下,数据应该巩固和净化,减少了总体控制覆盖的范围,特别是等关键控制需求带来的法律或监管规定。(编者注:参见本Rothke大卫Mundhenk指导减少PCI范围)。
10。根据影响分类的影响的数据。一些控件将确定为关键,与这些相关联的数据元素将同样被视为更敏感。这些类的信息资产应分类和标签,以确保足够的关注。
11。定义数据生命周期元素基于分类和需求被各种标准和实践水平。一旦结合控制框架;数据标识、范围和最小化;和分类水平已经建立了一个全面的数据生命周期程序应该实现。通过这个过程,最终用户可以管理的数据元素,符合所选控制框架的需求,而不必进行广泛研究有时晦涩难懂的控制集。
12。审查现有的基础设施、政策和程序对整合框架和数据生命周期需求。治理和运营资源必须审查对新开发的框架和相关的生命周期元素。在需要的地方,应改为支持新的控制系统。
13。实现一致的解决方案在所有数据元素位于层。支持流程,使控制的有效性应该从的角度一致,模块化的增长。网络、系统和管理工具应设计规模或容易被取代。巩固安全项目(如事件响应、脆弱性管理,变更管理)和计划要求(审计、渗透测试、漏洞评估、风险评估和报告)应该更新解决所有必需的控制整个框架,导致一个一致的、奇异的方法来遵从性和准备。
框架是很好的工具,可以极大地简化组织的追求有效的公司治理和合规信息。然而,一个规模很少,考虑周到框架元素的组合可能是最好的选择。
克里斯·格雷Accuvant高级风险和合规管理顾问。在这个角色中,灰色提供世界级的安全、合规和风险管理咨询服务Accuvant客户,关注合规准备和控制框架集成。灰色有相当经验的创建和集成控制框架在多个行业和领域,包括萨班斯奥克斯利法案(SOX 404),隐私和支付卡行业(PCI)。
这个故事一样,《13位基本步骤集成控制框架”最初发表的方案 。