Compliance Retningslinjer og prosedyrer

July 21

Som mer regulering og tilsyn er implementert globalt, behovet for å forstå etterlevelse retningslinjer og prosedyrer blir enda viktigere. To kritiske overholdelse politikk er Payment Card Industry Data Security Standard (PCI-DSS) og den nordamerikanske Electric Pålitelighet Corporation Critical Infrastructure Protection (NERC-CIP). Begge involverer IT-sikkerhet og beskyttelse av eiendeler, om enn på ulike bransjer.

PCI-DSS

PCI-DSS kravene coalesced i 2006 som en kollektiv gruppe av retningslinjer som kreves av fem store internasjonale retail elektroniske betalinger nettverk: Visa, American Express, Discover, Mastercard og JCB (Japan Credit Bureau). De 12 kravene i PCI-DSS gjelde for bedrifter i finansnæringen som gjør forretninger med en av disse fem store kredittkortselskaper og som enten behandle, overføre eller lagre kredittkortnumre (også kjent som "kortinnehaveren data"). Drivkraften for PCI-DSS er å gi vern mot identitetstyveri.

NERC-CIP

CIP standarder pålagt av NERC er på plass for å bidra til å sikre den nordamerikanske kraftsystemet. Strøm-genererende verktøy og kraft forhandlere er underlagt disse standardene. De 18 standarder (ikke alle virksomheter må alle standarder) er lik PCI-DSS, ettersom de styrer hvordan et nettverk skal konfigureres og hvor kritiske cyber Midlene skal plasseres og åpnes (i motsetning til kortholderdata ).

Straff for manglende overholdelse

Straffen for å unnlate å overholde PCI-DSS er enkel: hvis et selskap er funnet å være ute av samsvar, vil de miste sin forretningssamarbeid med VISA, Mastercard, etc. For selskaper som har virksomhet behandler finansielle transaksjoner, er deres levebrød tatt borte. NERC institutter økonomiske sanksjoner for bedrifter funnet å ikke være i samsvar. Bøter kan være så høyt som $ 1 million per dag for de selskapene alvorlig grad av samsvar.

Andre Compliance Retningslinjer og prosedyrer

Det er flere andre standarder, krav, retningslinjer og prosedyrer som organisasjoner må følge for å beskytte data i denne elektroniske tidsalder. Noen av dem er:

Sarbanes-Oxley (SOX): USAs føderale retningslinjer som gjelder ansvarlighet med bedriftens økonomi og revisjon. Erklæring om revisjonsstandarder nr 70 (SAS70): Revisjons standarder for revisorer. Disse standardene kan søke økonomisk så vel som IT-sikkerhet industries.Health Insurance Mobilitet og Accountability Act (HIPAA): USAs føderale retningslinjer som beskriver hvordan medisinske leverandører og andre må beskytte pasientens medisinske data.

Hvordan å overholde

Vanligvis er det to deler til bestått et PCI-DSS eller NERC-CIP compliance revisjon: dokumentasjon og teknisk gjennomføring. Den siste delen er gjort av en organisasjons IT-avdeling med veiledning typisk fra revisor ( "QSAs," i PCI-DSS verden). Dokumentasjon er vanligvis håndteres av tekniske forfattere, men disse standardene er så relativt nytt at det er vanskelig å finne en forfatter som faktisk har erfaring skriving til disse retningslinjene. PCI Guy, online på http://www.thepciguy.com, er en teknisk dokumentasjon konsulentfirma som spesialiserer seg på å skrive PCI-DSS, NERC-CIP og SOX compliance dokumentasjon.