Companies that sell software, 制造零件或法律服务是非常不同的业务类型, yet all of them have something in common. 他们都面临着越来越需要证明他们正在保护他们收集的数据的问题, use and store. 有时,对安全遵从性的需求来自法律法规,但越来越多的组织需要安全遵从性, 对安全遵从性的需求来自他们的客户或供应商.
In this article, 我们将探讨澳门赌场网址大全合规要求如何扩展到传统上没有受到监管的行业,并概述合规流程.
Here’s what you’ll learn:
- What is cybersecurity compliance?
- The drivers for security compliance
- Frameworks and security compliance
- Examples of security frameworks
- Choosing a framework to follow
- Using frameworks when compliance isn’t required
- The compliance process
- Attaining compliance with a security framework
- Maintaining compliance
- The costs of compliance
What is Cybersecurity Compliance?
澳门赌场网址大全遵从性是确保满足一组标准以保护数据和访问IT系统的过程.
长期以来,医疗保健和金融服务等行业必须遵守数据安全法规,因为它们处理的信息类型不同. 病史和银行证书对于拥有这些信息的个人来说是有价值的. 制定法规是为了保护人们免受信息被盗或泄露可能造成的伤害.
Today, 人们意识到,受监管行业的组织并不是唯一需要保护数据和IT系统的组织. 与您做生意的公司希望确保他们拥有和您使用的数据是安全的. Likewise, 您的员工希望您存储的关于他们的个人身份信息(PII)(如他们的社会安全号码)免受网络攻击者的攻击.
The Drivers for Security Compliance
Cybersecurity compliance is about managing risk. 具体来说,就是利用技术和互联网做生意的风险. 网络上的威胁广泛存在,而且数量和复杂程度都在不断增加. 每家公司都是网络坏人的目标,他们在一个庞大的地下生态系统中合作,通过他们渗透的在线账户和窃取的信息赚钱.
我们已经提到,客户和供应商正在降低安全性需求, but cyber insurers are also driving requirements for security compliance. 有一天,获得网络保险资格意味着你需要遵守特定的安全框架.
Frameworks and Security Compliance
A compliance framework 是否有一套政策和程序来建立技术控制和行为,以确保数据和IT系统的安全. 遵循框架并不一定意味着组织是合规的. 可以将框架看作是为遵从性提供构建块. 事实上,一个遵从性计划可以建立在多个框架之上.
安全框架的作用是建立一种方法来定义安全标准,以及组织将如何满足和维护这些标准. In addition to its role in the implementation of security measures, 框架为不同的实体提供了在交流澳门赌场网址大全标准时使用的通用语言.
Examples of Security Frameworks
在合规性法规的创建中有几种不同的安全框架. Some are industry specific and some are not. Even though a framework may be specific to a certain industry, it doesn’t mean that entities outside of that industry cannot use it.
NIST 800-53
This framework, 由美国国家标准与技术研究院(NIST)建立, 是为了保护联邦机构和他们的供应商利用. NIST 800-53将安全控制分为不同的类别,基于在发生违规事件时将持续的影响程度.
NIST 800-171
此框架是为存储和使用受控非机密信息(CUI)的政府实体供应商设计的。. The framework includes 110 requirements, 分为包含组织技术的14个家族, policies and procedures.
ISO 27001 and 27002
此ISO认证证明了组织管理其信息安全管理体系(ISMS)的最佳实践方法。. 该认证是全球公认的,包括定期的安全风险评估,以确定有效性. ISO 27002通过列出可能包含在组织安全计划中的安全控制来补充27001.
CMMC
澳门赌场网址大全成熟度模型认证(CMMC)是针对与国防部有业务往来的公司的多层认证. 第一层通过自我评估认证,第二层和第三层需要第三方审核. CMMC框架中的要求包括NIST 171和
SOC 2 Type 2
Originally developed by the American Institute of CPAs (AICPA), SOC(系统和组织控制)合规性是第三方验证组织安全流程的过程. Audits cover five areas of trust principles: security, availability, processing integrity, confidentiality and privacy. Type 1 denotes that the audit represents a snapshot in time. 类型2表明在较长一段时间内对流程的有效性进行了审计.
How Do You Know What Framework to Follow?
如果您的客户或供应商要求您遵循遵从性需求, they’ll specify what framework you should follow. In fact, 他们可能从多个框架中提取需求,以传达他们的安全期望.
你的公司也很有可能有一个实体告诉你要遵循一个特定的框架, and another entity requiring a different framework. You can often set up controls that will satisfy both frameworks. Start with one, 然后设置另一个应该是一个更容易的过程,因为部分工作已经完成.
If you’re starting with either CMMC Level 2 or NIST 171, 这样,您就可以很好地适应您的客户或供应商所需要的任何其他遵从性框架.
Are Frameworks Useful if Compliance Isn’t Required?
即使客户或供应商还没有要求您遵守他们的安全需求, adopting a framework as the foundation of your security strategy is a good idea. 框架提供了一种方法来创建和记录您的安全策略,并在您面临遵从性需求时将您的组织置于一个良好的位置.
CMMC 1级框架对于没有遵从性经验的组织来说是一个很好的第一步. 在这个级别上,您可以对您的安全流程和程序进行自我评估. Self-assessment doesn’t mean that it’s easy. 如果你发现了以前不知道的差距,不要感到惊讶, both in security controls and security expertise.
The Compliance Process
遵从安全法规所涉及的不仅仅是在列表上勾选复选框. 合规性是关于使您的操作安全,所以有时您将不得不改变您的流程,这需要时间.
To give you an idea of the kind of time frame you need, consider a period of 12 -18 months to attain ISO 27001, NIST 171 or CMMC Level 2 compliance. SOC 2 Type 1 could take six months, and SOC 2 Type 2 a year or more.
There are generally five phases in the compliance process:
- Conduct a gap analysis to evaluate your current state of security.
- 回顾差距分析得出的报告和建议.
- 制定一个计划,使你的组织达到框架标准.
- Implement the plan to attain compliance.
- 在持续的基础上管理安全流程以保持合规性.
Attaining Compliance with a Security Framework
实现与安全框架的遵从性所需的计划将与每个组织一样独特. 游戏中会有一些很容易实现的控制,所以先把它们打出来. These are things like MFA, proper endpoint protection, logging, and regular assessments.
更困难或更复杂的措施将花费更多的时间,通常与改变员工的习惯以及他们如何在电脑上处理任务有关. For example, if they aren’t already, 计算机用户将需要对所有东西使用多因素身份验证(MFA).
The security process has technical and non-technical components, so a major part of your process is going to be documenting, training, 以及执行人们访问数据和IT系统的政策.
编写安全策略的过程既耗时又复杂,但却是必要的. 如果你发现你的公司远没有在公司内部运作,这也是很有启发的 Principle of Least Privilege. 您不仅需要审计所有角色以找出它们拥有的权限, 但是,您可能需要备份并建立新的权限配置文件,以便处理以后的数据访问.
Maintaining Compliance
实际上,在每个组件就位之前,就已经开始维护组织对安全框架的遵从性. 因此,如果您的差距分析表明您已经设置了一些适当的安全控制, make sure that those are being monitored and managed. Likewise, begin managing each new layer of security as it’s added.
管理合规性的很大一部分与确保员工了解安全策略并具备遵守这些策略的能力有关. 只要可能,您可以并且应该使用技术措施自动执行策略. 然而,你需要制定一个计划来审核员工的行为,并提供持续的培训.
除了培训员工如何访问数据和IT系统之外, 澳门赌场网址大全意识培训应包括在您的计划中,以保持合规性. 这种类型的培训教会人们如何识别潜在的网络攻击,以及当他们遇到可疑的东西时该怎么做.
The Costs of Security Compliance
当您开始遵循法规时,您应该期望在安全性方面的投资水平会增加. But when you consider the costs of compliance, 您还必须考虑不合规的成本,这可能意味着客户的损失或与您作为供应商合作的限制.
Additionally, becoming compliant lowers your cyber risk. 这可以转化为更高的网络保险费率,更不用说在遭遇网络攻击时,你的业务将保持弹性.
As you’re getting started, 您很可能需要添加软件工具,如更好的端点检测和响应(EDR), and extended log collections. You may need hardware improvements like upgrading your firewalls. If your employees have been using their own computers and phones, you may need to provide company-owned devices.
Regular vulnerability scans, penetration tests, 需要定期进行安全和风险评估,以确保安全控制的有效性.
Even if you work with a cybersecurity services provider, it’s a good idea to have someone act as your compliance manager. 这意味着你需要投入资源让那个人接受培训,这样他们就能协调你与所有相关方的努力.
How Bellwether Works with Clients to Attain and Maintain Compliance
Unless your company has advanced security expertise internally, 您可能需要与澳门赌场网址大全服务提供商合作,帮助您完成合规流程. 我们不能为您的组织创建和实施定制的合规计划, 但我们将与贵公司合作,确保参与流程的每个人都能履行合规责任. 此外,Bellwether合规分析师将参与每次审计,从而促进审计过程.