原文链接:https://weibo.com/ttarticle/p/show?id=2309404819113368223957
在网络安全趋于成熟的今天,安全与合规正越来越多地在高度交叉、融合,这与国际网络空间安全战略以及国家网络安全法律频繁出台密切相关。因此,企业在做安全规划时,其中一个重要的驱动便是合规驱动。是否符合网络安全法?是否符合数据安全法?是否符合个人信息保护法等,如不满足安全监管要求,业务就无法放心大胆地开展。
另一方面,无论是从security by design还是audit的角度来说,整个发展的过程中,合规始终是贯穿首尾的框架和主线,所以企业需要在这个基础和框架里去保证安全的正确实施,同时合规还具有调整和矫正的作用,比如使用合规成熟度模型来衡量企业的风险评分,或使用这些模型策略来捕捉不断变化的风险,当然还可以用这些模型来帮助 IT 负责人,以他们所能理解的风险和业务语言向高层管理人员报告。
可以说,每一个安全的domain和安全的lifecycle的过程,都是相辅相成、相互依靠的。随着合规不断地演绎和引进,安全便是在此过程中会发生不断地迭代,并磨合出最佳实践,这是安全和合规之间主要的关联。那不禁要问,如果当下所适用的安全措施不符合合规要求怎么办?答案是:改变它,并尽可能地使它保持合规。
正如国外安全专家建议的那样,当安全人员发现了某个安全措施,并觉得此措施能给公司的安全带来改善时,明智的做法是先确定这措施是否合规,或者判断其是否可以成为企业合规模板可接受的例外,不然盲目地落实措施会给企业带来无法想象的后果。
从现实来看,许多安全人员为具有多项合规要求的公司工作,显而易见,所处的公司规模越大、国际化程度越高,所需遵循的合规、法规就越多,比如欧盟的通用数据保护条例 (GDPR)、美国健康保险流通与责任法案 (HIPAA)、支付卡行业数据安全标准 (PCI DSS)、美国国家标准与技术研究院 (NIST) 的指南、联邦信息安全管理法案 (FISMA) 和互联网安全中心 (CIS) 控制等,包括我国的《个人信息保护法》、《数据安全法》、《网络安全法》。
这些法规包含了各种建议和具体实施内容,企业需要在更改网络防御之前查看这些条例,以确保自己的合规性。接下去就简单介绍几种需要注意的安全措施。
最新评论
这个牛
放下欲望,男人从来不醉,充分且必要
勇气、责任、自信、创新,为天下先!
软件即数据,软件即服务,软件即管理,软件就是对人类各种社会活动的仿真和记录。软件很重要,但软件不可能凌驾于业务之上,尤其不可能高人一等。