法律團隊一直在信息安全和合規(guī)計劃中發(fā)揮重要的作用。律師們提供的專業(yè)知識補充了IT專業(yè)人員的技術知識，當這兩者朝著共同目標合作時，可以幫助企業(yè)建立全面的IT風險管理計劃。

[[129067]]

在這篇文章中，我們將探討在各種規(guī)模的企業(yè)中，法律團隊可以為信息安全提供幫助的三個不同領域以及如何確保這兩個團隊成功地攜手合作。

風險管理

法律部門經(jīng)常發(fā)現(xiàn)自己被安排參與企業(yè)風險管理(ERM)計劃中，這主要是因為兩個原因：首先，他們通常了解企業(yè)各個領域面臨的很多敏感風險;其次，很多企業(yè)風險都具有法律性質(zhì)，需要律師的專業(yè)知識來協(xié)助解釋法律和法規(guī)，以及評估違規(guī)時對企業(yè)的影響。

信息安全專業(yè)人員經(jīng)常執(zhí)行自己的風險評估，但顯然，信息安全團隊查找的風險與律師部門關注的風險非常不同。此外，安全驅(qū)動的風險評估往往在隔離環(huán)境進行，很少與IT部門之外的人進行共享，這是由于其很高的技術性質(zhì)。

如果IT領導者能夠彌合這種技術差距，并提供對信息安全風險的“外行”式評估，他們就可以與其法律團隊合作將這些評估納入到更廣泛的ERM計劃。每個大型企業(yè)都應該有ERM計劃，以在企業(yè)范圍收集風險數(shù)據(jù)來評估和緩解企業(yè)面臨的風險。同時，信息安全風險(例如惡意軟、偉大補丁的系統(tǒng)、政策違規(guī)等)和很多其他風險也應該被納入到更廣泛的風險管理工作中。

為了確保這種合作的實現(xiàn)，信息安全領導者應該伸出手與法律同行建立合作關系。而企業(yè)應該促進這兩個團隊對各個角度的風險進行討論，這無疑會找到他們共同的興趣領域以及方法讓每個團隊支持對方的目標，包括風險管理。這種合作方式將最終幫助確保企業(yè)的領導層清楚了解安全風險，并可能讓他們分配更多資源來解決IT風險。

合規(guī)和事故響應

大多數(shù)法律團隊最開始參與IT安全問題是為了向IT和職能團隊提供幫助，以確保企業(yè)遵守安全法律和法規(guī)。支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)、健康保險流通與責任法案(HIPAA)，格雷姆 -里奇-比利雷法案(GLBA)和很多其他法規(guī)向IT企業(yè)提出了各種要求，而IT企業(yè)往往缺乏培訓和經(jīng)驗來解釋和適用復雜的法律及行業(yè)準則。

律師可以幫助IT團隊清楚地了解哪些法規(guī)適用于企業(yè)及其適用范圍。當法規(guī)出現(xiàn)歧義時，他們還能夠提供有關所計劃控制的可接受性的建議。信息安全團隊應該毫不猶豫地找到法律團隊來討論如何解釋和遵守合規(guī)要求。每個團隊都需要一些練習來學習如何了解對方的語言，所以請記住，雙方都需要有耐心。

當數(shù)據(jù)泄露事故或其他重大安全事故發(fā)生時，法律團隊也發(fā)揮了重要作用。他們的專業(yè)知識可以幫助從法律的角度作出響應，并可以就數(shù)據(jù)泄露事故通知和響應向企業(yè)領導提供法律建議。因此，在事故發(fā)生之前，絕對有必要讓法律團隊參與事件響應規(guī)劃中。這應該包括，在桌面演戲中，在模擬IT問題的同時，還應該考慮相關的法律問題。當事故真的發(fā)生時，也應該立即通知法律部門，并讓他們參與迅速響應工作中。

合同審查

大多數(shù)企業(yè)已經(jīng)在依靠其法律團隊來審查IT合同(如果你沒有，你應該這樣做)。這項工作的自然延伸是要求法律團隊確保合同中的安全語言可以充分保護企業(yè)的利益。這應該同時應用于與供應商和客戶的合同，并且應該包括覆蓋面問題，包括安全控制、審計、事故通知、賠償?shù)戎匾獑栴}。

促進安全和法律團隊合作的最佳途徑之一是讓他們合作開發(fā)一套解決這些問題的標準合同語言文檔。這樣的話，信息安全團隊可以添加這種語言到其接收或制定的任何合同，確?？梢宰詣咏鉀Q關鍵的法律問題。當合同的另一方接受標準條款時，那么合同可以迅速獲得批準。在另一方面，對標準條款提出的任何修改都需要法律和信息安全團隊的深入審查。

結(jié)論

與法律部門建立牢固的關系是信息安全專業(yè)人士快速獲得成功的途徑之一。當信息安全和法律團隊的專家聯(lián)手合作來解決信息安全帶來的問題時，整個企業(yè)都會從中受益。