合規(guī)：我不能理解一些安全專業(yè)人員，特別是不會每天或甚至每時處理問題的首席信息安全官（CISO）。如果公司要遵從的不是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（簡稱PCI DSS），那么可能是HIPAA法案、GLB法案、薩班斯法案或是許多其它私有和安全法令之一。保護(hù)企業(yè)的數(shù)據(jù)很必要，同時也要保證企業(yè)履行合規(guī)的要求。

所以CISO如何才能正確地管理合規(guī)？CISO需要有什么樣的關(guān)鍵管理過程、優(yōu)先級排序和心態(tài)，才能確保信息安全團(tuán)隊能讓企業(yè)滿足合規(guī)要求？本文我想介紹可能有助于你獲得成功的四個方面。

你的口頭禪：保護(hù)數(shù)據(jù)

首先，記住作為CISO你的角色是公司信息安全的代表。不管是什么特定的合規(guī)要求，你的首要工作是保護(hù)公司的數(shù)據(jù)，并且還要保護(hù)你的員工、廠商、顧客和你的股東。

如果你查看關(guān)鍵合規(guī)指導(dǎo)方針——包括PCI DSS、HIPAA或是NERC要求——其核心的主題都是保護(hù)系統(tǒng)、數(shù)據(jù)和防止數(shù)據(jù)丟失?；旧洗蠖鄶?shù)合規(guī)要求的基本原則是維持“CIA”：即數(shù)據(jù)和系統(tǒng)的保密性（confidentiality）、完整性（integrity）和可用性（availability）。

了解管理合規(guī)的要求

其次，了解你必須遵從的合規(guī)要求。閱讀并研究它們，并且對照它們進(jìn)行自審和評估。掌握關(guān)于這些法令的相關(guān)解釋、裁決和新聞最新動態(tài)。例如訂閱關(guān)于PCI DSS、HIPAA或NERC的新聞，或者創(chuàng)建Google Alert，了解關(guān)于信用卡安全，或是任何和你行業(yè)最相關(guān)的新聞。通過了解要求和保持對這些主題的行業(yè)交流，你將能夠?qū)赡軙绊懝竞弦?guī)狀態(tài)的決策結(jié)果更了解。

你還可以通過使用行業(yè)評估檢查列表（用于指導(dǎo)變更管理或者架構(gòu)評審）來了解要求。確保對系統(tǒng)的變更——即使是那些和合規(guī)主題沒有直接關(guān)聯(lián)的——不會使數(shù)據(jù)或系統(tǒng)面臨潛在的危險。

安全培訓(xùn)和安全意識

作為CISO，我堅信員工是公司的第一道防線。要確保員工和承包商意識到他們的行為，或者不作為可能會導(dǎo)致數(shù)據(jù)泄露或違規(guī)的情況。那么，你如何傳達(dá)這些信息呢？

第一步是查看業(yè)務(wù)過程，并且推斷在數(shù)據(jù)流和系統(tǒng)操作中因為沒履行特定的要求而導(dǎo)致違規(guī)的地方。使用這些信息，花時間對關(guān)鍵員工進(jìn)行培訓(xùn)，并且進(jìn)行責(zé)任定位以保護(hù)信息安全。

例如，就PCI DSS法案來說，一個潛在的薄弱區(qū)域是在銷售點終端機(jī)處理信用卡數(shù)據(jù)。恰當(dāng)?shù)姆椒ǎú⑶疑踔潦荘CI DSS要求的）是花時間向面對客戶的員工——或者至少制定一些基于計算機(jī)的培訓(xùn)或員工安全意識手冊——解釋處理信用卡的正確和不正確的方式，例如不要復(fù)制信用卡號。

在這方面的其它方法還有指導(dǎo)開發(fā)重要Web應(yīng)用的員工進(jìn)行測試和數(shù)據(jù)校驗，或是培訓(xùn)所有便攜式電腦用戶如何在外出旅行時安全防護(hù)他們的機(jī)器。

換句話說，要經(jīng)常培訓(xùn)和指導(dǎo)員工了解采取某些行為的原因，以及如果數(shù)據(jù)沒有得到恰當(dāng)?shù)乇Ｗo(hù)會給公司名譽(yù)和員工帶來的影響。

了解根源

如果發(fā)生事故，該事故可能會讓公司的法規(guī)遵從受到質(zhì)疑，所以必須花時間和精力來理解事故的根本原因。不要只是掩蓋征兆，要真正地理解發(fā)生了什么和為什么會發(fā)生。然后花時間思考補(bǔ)救措施，來解決問題和防止事件再次發(fā)生。確認(rèn)和追蹤這些補(bǔ)救措施確實完成。

這個方法也將有助于你與監(jiān)管人員及合規(guī)監(jiān)督者溝通。通過了解你的問題和事件，你會闡明你不想讓錯誤發(fā)生和你愿意付出時間和努力來防止問題再次發(fā)生。如果到了罰款或處罰的地步，如果你一直和監(jiān)管者保持坦誠，他們很可能會寬大處理。

持續(xù)的壓力

作為CISO，我經(jīng)常對我的安全團(tuán)隊同事說，我們最重要的工作是持續(xù)關(guān)注公司合規(guī)和數(shù)據(jù)安全。不幸的是，這可能并不容易實現(xiàn)，并且有時還具有挑戰(zhàn)性，但是你需要保持這個壓力來保持和提高你所在企業(yè)的安全狀況。

【編輯推薦】

1. 由PCI保障持卡人數(shù)據(jù)安全看國內(nèi)支付安全
2. 終端安全系列談：準(zhǔn)入控制保障“內(nèi)網(wǎng)合規(guī)”