每一個研究信息安全和IT合規(guī)性的專家都知道，其實IT合規(guī)性文檔對于正在進行的IT合規(guī)性項目的可行性是至關(guān)重要的。那么，為什么這個重要的任務(wù)常常被忽略，被歸類于那些“以后再做”的事情列表中，并被像垃圾一樣扔在各美國企業(yè)的桌面上?

記錄合規(guī)性文檔并不麻煩。我們都知道在大型組織中，安全控制的書面說明對于確保合規(guī)性工作的延續(xù)性是非常重要的。在大型組織中，責任總在部門和部門之間轉(zhuǎn)變，而隨著人事的流動，個人之間的責任也在變換。與此同時，很多法規(guī)都明確規(guī)定需要正式的安全控制文件。然而，維護這個合規(guī)性文檔是IT合規(guī)性活動中最經(jīng)常被忽略的環(huán)節(jié)之一。

在這篇文章中，我們討論一些企業(yè)可以用來改善合規(guī)性控制文檔的方法，開發(fā)一個可持續(xù)發(fā)展的計劃來維護安全文檔，并了解許多組織需要遵從的具體文檔要求。

記錄安全控制

任意合規(guī)性文檔的基本目標都是維護一個組織必須遵守的各項規(guī)章制度所授權(quán)的所有控制目標列表，然后根據(jù)這個有具體控制描述的列表來實現(xiàn)控制目的。組織所使用的一種常見方法是通過逐點詳述的基礎(chǔ)要求來為項目的各項規(guī)章制度指定一份書面合規(guī)性計劃。這份文檔的復雜性取決于包含在每一個規(guī)章要求里面的細節(jié)程度。一般來說，合規(guī)性文檔中應(yīng)該包含一個需求描述，控制描述，最后一次驗證控制安全的控制與信息負責人的聯(lián)系信息。

比如，一份PCI DSS(數(shù)據(jù)安全標準)合規(guī)性計劃關(guān)于處理要求的 12.1節(jié)應(yīng)該包含以下三個部分內(nèi)容：

要求：制定、發(fā)布、維護和傳播一個安全策略，以解決所有PCI DSS要求。

控制描述：企業(yè)信息安全策略(可在SharePoint上獲取的策略文件夾)的第3節(jié)中包含解決每個PCI DSS要求的詳細描述。

負責人：Mary Jones， IT策略辦公室，x51242

引文來源：PCI DSS 12.1.1

最后驗證人：2013年6月1日 Tom Abrams

要求：指定、發(fā)布、維護和傳播一個安全策略，包括一個年度威脅和漏洞識別過程，并生成一份正式的風險評估報告。

控制描述：企業(yè)信息安全策略(可在SharePoint上獲取的策略文件夾)的4.1節(jié)中包含年度正式的風險評估要求。這個風險評估在每年5月進行，結(jié)果保存在IT合規(guī)內(nèi)網(wǎng)的風險評估文件夾中。

負責人：Robert Smith，IT安全辦公室，x58294

引文來源：PCI DSS 12.1.2

最后驗證人：2013年6月1日 Tom Abrams

要求：制定、發(fā)布、維護和傳播一個安全策略，包含至少每年一次的評審報告，或環(huán)境變化時的評審報告。

控制描述：企業(yè)信息安全策略(可在SharePoint上獲取的策略文件夾)的5.2節(jié)中包含年度或環(huán)境變化的評審要求。這個評審報告用備忘錄形式記錄并保存在IT合規(guī)內(nèi)網(wǎng)的策略評審文件夾中。

負責人：Robert Smith，IT安全辦公室，x58294

引文來源：PCI DSS 12.1.3

最后驗證人：2013年6月1日 Tom Abrams

這些文檔的創(chuàng)建需要合規(guī)性計劃項目的所有負責人之間的協(xié)同努力。在很多大型組織中，創(chuàng)建這些文檔可能是一個已存在的合規(guī)性或風險管理委員會的責任。個人利益相關(guān)者可能包括信息安全專業(yè)人士、政策分析師、合規(guī)專家和法律顧問。一旦合規(guī)性文檔完成，它就是可以驗證組織正在進行時項目的合規(guī)性的寶貴資源，也可以在任意審計問題出現(xiàn)時大大減小解決問題的難度。

評審合規(guī)計劃

一個組織的各種合規(guī)性計劃的年度評審都應(yīng)該在IT合規(guī)性日程表上被安排作為經(jīng)常性的活動，并且和其它重要的合規(guī)期限和里程碑同樣重要。每個評審過程都應(yīng)該遵從個人“保持距離”狀態(tài)，至少，不應(yīng)該由負責合規(guī)計劃的人來指導評審過程。

評審工作是一個審核IT合規(guī)性計劃上每個元素的一個簡單過程，驗證安全控制列表上的控制目的是否到位，是否有效地滿足合規(guī)性要求。一旦每個驗證完成，評審者需要更新合規(guī)性計劃上的“最后驗證人”的日期。

年度評審的第二項工作是將合規(guī)性計劃和目前的監(jiān)管要求進行對比。年度評審是一個很好的檢查和平衡項目，可以確保控制要求自上次評審以來并沒有發(fā)生改變，而且IT合規(guī)性計劃已經(jīng)符合每一個要求。任何不足的地方應(yīng)該整治修復，并記錄在更新的合規(guī)計劃中。

法規(guī)規(guī)定的具體安全文檔要求

當開發(fā)企業(yè)的合規(guī)性文檔項目時，一定要咨詢每個監(jiān)管該活動的法規(guī)規(guī)定的具體文檔要求。這些法規(guī)可能包括你需要納入項目的具體文件要求。

例如，HIPAA(健康保險流通與責任法案)和PCI DSS合規(guī)性計劃都包含一個法規(guī)，其要求組織進行正式的風險評估來確保受保護資料的安全。一個合規(guī)性計劃應(yīng)確保的不僅僅是評審過程已經(jīng)完成，而且評審的結(jié)果需要記錄并保存下來，當合規(guī)審計需要的時候，相關(guān)人員可以很快取得評審結(jié)果。一個常用的方法是使用SharePoint站點來保存此文檔。

此外，大多數(shù)信息安全法規(guī)要求組織擁有一個包含特定元素的書面信息安全計劃。事實的確如此，甚至一些模糊的法規(guī)，如馬薩諸塞州的201 CMR 17.00法規(guī)，監(jiān)管收集馬薩諸塞州居民個人信息的各機構(gòu)。這條法規(guī)列舉了大量需要書面計劃記錄下來的特定要求。因此，你可能發(fā)現(xiàn)你需要調(diào)整你的文檔來滿足各種不同的法規(guī)要求。

盡管記錄IT合規(guī)肯定很枯燥，但是對于確保合規(guī)性項目的順利和有效運行是至關(guān)重要的。文檔計劃除了作為法規(guī)遵從項目所需的組件之外，它讓組織可以簡單地驗證目前合規(guī)性項目是否滿足所有法規(guī)，并且簡化組織和監(jiān)管機構(gòu)、設(shè)計師和其他第三方關(guān)于合規(guī)性計劃交流的過程。