合規(guī)：我不能理解一些安全專業(yè)人員，特別是不會每日 或甚至每時處理問題的首席信息安全官(CISO)。如果公司要遵從的不是支付卡行業(yè)數(shù)據(jù)安全標準(簡稱PCI DSS)，那么可能是HIPAA法案、GLB法案、薩班斯法案或是許多其它私有和安全法令之一。保護企業(yè)的數(shù)據(jù)很必要，同時也要保證企業(yè)履行合規(guī)的要求。

　　所以CISO如何才能正確地管理合規(guī)?CISO需要有什么樣的關鍵管理過程、優(yōu)先級排序和心態(tài)，才能確保信息安全團隊能讓企業(yè)滿足合規(guī)要求?本文我想介紹可能有助于你獲得成功的四個方面。

　　你的口頭禪：保護數(shù)據(jù)

　　首先，記住作為CISO你的角色是公司信息安全的代表。不管是什么特定的合規(guī)要求，你的首要工作是保護公司的數(shù)據(jù)，并且還要保護你的員工、廠商、顧客和你的股東。

　　如果你查看關鍵合規(guī)指導方針——包括PCI DSS、HIPAA或是NERC要求——其核心的主題都是保護系統(tǒng)、數(shù)據(jù)和防止數(shù)據(jù)丟失?；旧洗蠖鄶?shù)合規(guī)要求的基本原則是維持“CIA”：即數(shù)據(jù)和系統(tǒng)的保密性(confidentiality)、完整性(integrity)和可用性(availability)。

　　了解管理合規(guī)的要求

　　其次，了解你必須遵從的合規(guī)要求。閱讀并研究它們，并且對照它們進行自審和評估。掌握關于這些法令的相關解釋、裁決和新聞最新動態(tài)。例如訂閱關于PCI DSS、HIPAA或NERC的新聞，或者創(chuàng)建Google Alert，了解關于信用卡安全，或是任何和你行業(yè)最相關的新聞。通過了解要求和保持對這些主題的行業(yè)交流，你將能夠對可能會影響公司合規(guī)狀態(tài)的決策結果更了解。

　　你還可以通過使用行業(yè)評估檢查列表(用于指導變更管理或者架構評審)來了解要求。確保對系統(tǒng)的變更——即使是那些和合規(guī)主題沒有直接關聯(lián)的——不會使數(shù)據(jù)或系統(tǒng)面臨潛在的危險。

　　安全學習 和安全意識

　　作為CISO，我堅信員工是公司的第一道防線。要確保員工和承包商意識到他們的行為，或者不作為可能會導致數(shù)據(jù)泄露或違規(guī)的情況。那么，你如何傳達這些信息呢?

　　第一步是查看業(yè)務過程，并且推斷在數(shù)據(jù)流和系統(tǒng)操作中因為沒履行特定的要求而導致違規(guī)的地方。使用這些信息，花時間對關鍵員工進行學習 ，并且進行責任定位以保護信息安全。

　　例如，就PCI DSS法案來說，一個潛在的薄弱區(qū)域是在銷售點終端機處理信用卡數(shù)據(jù)。恰當?shù)姆椒?并且甚至是PCI DSS要求的)是花時間向面對客戶的員工——或者至少制定一些基于計算機的學習 或員工安全意識手冊——解釋處理信用卡的正確和不正確的方式，例如不要復制信用卡號。

　　在這方面的其它方法還有指導開發(fā)重要Web應用的員工進行測試和數(shù)據(jù)校驗，或是學習 所有便攜式電腦用戶如何在外出旅行時安全防護他們的機器。

　　換句話說，要經(jīng)常學習 和指導員工了解采取某些行為的原因，以及如果數(shù)據(jù)沒有得到恰當?shù)乇Ｗo會給公司名譽和員工帶來的影響。

　　了解根源

　　如果發(fā)生事故，該事故可能會讓公司的法規(guī)遵從受到質疑，所以必須花時間和精力來理解事故的根本原因。不要只是掩蓋征兆，要真正地理解發(fā)生了什么和為什么會發(fā)生。然后花時間思考補救措施，來解決問題和防止事件再次發(fā)生。確認和追蹤這些補救措施確實完成。

　　這個方法也將有助于你與監(jiān)管人員及合規(guī)監(jiān)督者溝通。通過了解你的問題和事件，你會闡明你不想讓錯誤發(fā)生和你愿意付出時間和努力來防止問題再次發(fā)生。如果到了罰款或處罰的地步，如果你一直和監(jiān)管者保持坦誠，他們很可能會寬大處理。

　　持續(xù)的壓力

　　作為CISO，我經(jīng)常對我的安全團隊同事說，我們最重要的工作是持續(xù)關注公司合規(guī)和數(shù)據(jù)安全。不幸的是，這可能并不容易實現(xiàn)，并且有時還具有挑戰(zhàn)性，但是你需要保持這個壓力來保持和提高你所在企業(yè)的安全狀況。