每一个研究信息安全和IT合规性的专家都知道,其实IT合规性文档对于正在进行的IT合规性项目的可行性是至关重要的。那么,为什么这个重要的任务常常被忽略,被归类于那些“以后再做”的事情列表中,并被像垃圾一样扔在各美国企业的桌面上?
记录合规性文档并不麻烦。我们都知道在大型组织中,安全控制的书面说明对于确保合规性工作的延续性是非常重要的。在大型组织中,责任总在部门和部门之间转变,而随着人事的流动,个人之间的责任也在变换。与此同时,很多法规都明确规定需要正式的安全控制文件。然而,维护这个合规性文档是IT合规性活动中最经常被忽略的环节之一。
在这篇文章中,我们讨论一些企业可以用来改善合规性控制文档的方法,开发一个可持续发展的计划来维护安全文档,并了解许多组织需要遵从的具体文档要求。
记录安全控制
任意合规性文档的基本目标都是维护一个组织必须遵守的各项规章制度所授权的所有控制目标列表,然后根据这个有具体控制描述的列表来实现控制目的。组织所使用的一种常见方法是通过逐点详述的基础要求来为项目的各项规章制度指定一份书面合规性计划。这份文档的复杂性取决于包含在每一个规章要求里面的细节程度。一般来说,合规性文档中应该包含一个需求描述,控制描述,最后一次验证控制安全的控制与信息负责人的联系信息。
比如,一份PCI DSS(数据安全标准)合规性计划关于处理要求的 12.1节应该包含以下三个部分内容:
要求:制定、发布、维护和传播一个安全策略,以解决所有PCI DSS要求。
控制描述:企业信息安全策略(可在SharePoint上获取的策略文件夹)的第3节中包含解决每个PCI DSS要求的详细描述。
负责人:Mary Jones, IT策略办公室,x51242
引文来源:PCI DSS 12.1.1
最后验证人:2013年6月1日 Tom Abrams
要求:指定、发布、维护和传播一个安全策略,包括一个年度威胁和漏洞识别过程,并生成一份正式的风险评估报告。
控制描述:企业信息安全策略(可在SharePoint上获取的策略文件夹)的4.1节中包含年度正式的风险评估要求。这个风险评估在每年5月进行,结果保存在IT合规内网的风险评估文件夹中。
负责人:Robert Smith,IT安全办公室,x58294
引文来源:PCI DSS 12.1.2
最后验证人:2013年6月1日 Tom Abrams
要求:制定、发布、维护和传播一个安全策略,包含至少每年一次的评审报告,或环境变化时的评审报告。
控制描述:企业信息安全策略(可在SharePoint上获取的策略文件夹)的5.2节中包含年度或环境变化的评审要求。这个评审报告用备忘录形式记录并保存在IT合规内网的策略评审文件夹中。
负责人:Robert Smith,IT安全办公室,x58294
引文来源:PCI DSS 12.1.3
最后验证人:2013年6月1日 Tom Abrams
这些文档的创建需要合规性计划项目的所有负责人之间的协同努力。在很多大型组织中,创建这些文档可能是一个已存在的合规性或风险管理委员会的责任。个人利益相关者可能包括信息安全专业人士、政策分析师、合规专家和法律顾问。一旦合规性文档完成,它就是可以验证组织正在进行时项目的合规性的宝贵资源,也可以在任意审计问题出现时大大减小解决问题的难度。
评审合规计划
一个组织的各种合规性计划的年度评审都应该在IT合规性日程表上被安排作为经常性的活动,并且和其它重要的合规期限和里程碑同样重要。每个评审过程都应该遵从个人“保持距离”状态,至少,不应该由负责合规计划的人来指导评审过程。
评审工作是一个审核IT合规性计划上每个元素的一个简单过程,验证安全控制列表上的控制目的是否到位,是否有效地满足合规性要求。一旦每个验证完成,评审者需要更新合规性计划上的“最后验证人”的日期。
年度评审的第二项工作是将合规性计划和目前的监管要求进行对比。年度评审是一个很好的检查和平衡项目,可以确保控制要求自上次评审以来并没有发生改变,而且IT合规性计划已经符合每一个要求。任何不足的地方应该整治修复,并记录在更新的合规计划中。
法规规定的具体安全文档要求
当开发企业的合规性文档项目时,一定要咨询每个监管该活动的法规规定的具体文档要求。这些法规可能包括你需要纳入项目的具体文件要求。
例如,HIPAA(健康保险流通与责任法案)和PCI DSS合规性计划都包含一个法规,其要求组织进行正式的风险评估来确保受保护资料的安全。一个合规性计划应确保的不仅仅是评审过程已经完成,而且评审的结果需要记录并保存下来,当合规审计需要的时候,相关人员可以很快取得评审结果。一个常用的方法是使用SharePoint站点来保存此文档。
此外,大多数信息安全法规要求组织拥有一个包含特定元素的书面信息安全计划。事实的确如此,甚至一些模糊的法规,如马萨诸塞州的201 CMR 17.00法规,监管收集马萨诸塞州居民个人信息的各机构。这条法规列举了大量需要书面计划记录下来的特定要求。因此,你可能发现你需要调整你的文档来满足各种不同的法规要求。
尽管记录IT合规肯定很枯燥,但是对于确保合规性项目的顺利和有效运行是至关重要的。文档计划除了作为法规遵从项目所需的组件之外,它让组织可以简单地验证目前合规性项目是否满足所有法规,并且简化组织和监管机构、设计师和其他第三方关于合规性计划交流的过程。
