Co je rámec dodržování předpisů?
Zveřejněn 11. ledna 2020 • 2 min. čtení
compliance framework, známý také jako compliance program, je strukturovaný soubor pokynů a osvědčených postupů, které údaje společnosti procesů pro splnění regulačních požadavků. Rámec shody s kybernetickou bezpečností se obvykle soustředí na řízení rizik a bezpečnost dat.
kromě splnění regulačních požadavků organizace používá jeho dodržování rámce(y) pro zvýšení bezpečnosti, zlepšení obchodních procesů, a uvědomit si, jiných obchodních cílů, jako je prodej cloud produkty a služby vládních agentur.
kybernetické bezpečnosti rámec obecně nabízí doporučení pro provádění a řízení různých funkcí společnosti je cybersecurity programu, včetně kontroly přístupu, šifrování, autentizace, monitoring, reakce na incidenty, obvod obrana a řízení rizik.
shody, rámec a rámec kybernetické bezpečnosti poskytnout společný jazyk, který jednotlivců ve všech oblastech organizace může použít na podporu bezpečné a efektivní obchodní praktiky.
interní auditoři společnosti a další interní zúčastněné strany používají rámec shody k hodnocení vnitřních kontrol organizace. Externí auditoři mohou také použít rámec shody k vyhodnocení a ověření vnitřních kontrol společnosti.
Navíc, investoři a potenciální zákazníky, například, může použití regulačních rámců pro zajištění shody vyhodnotit riziko, že by mohl čelit, pokud by partner s určitými společnostmi, a také určit ziskovost těchto organizací.
splnění požadavků na dodržování předpisů je pokračující proces. Je to proto, že podnikatelské prostředí společnosti se neustále mění. Jedna nebo více vnitřních kontrol proto nemusí fungovat tak účinně jako v minulosti.
v důsledku toho musí organizace pravidelně sledovat svůj rámec(y) dodržování předpisů a podávat zprávy o svých zjištěních. Každý rámec obsahuje pokyny k přesnému významu “pravidelného sledování”.”
existuje řada rámců shody, které může tým informační bezpečnosti společnosti přijmout, aby splnil regulační požadavky. Jedním z takových rámců shody je standard pro zabezpečení dat v oblasti platebních karet (PCI DSS). PCI DSS se vztahuje na všechny subjekty zapojené do zpracování platebních karet, včetně obchodníků, zpracovatelů, nabyvatelů, emitentů a poskytovatelů služeb.
PCI DSS je navržen tak, aby chránil bezpečnost dat držitelů karet. PCI DSS nabízí pokyny pro zabezpečení dat platebních karet a zahrnuje dodržování rámci specifikace, měření, nástroje a zdroje podpory umožnit společnostem, aby bezpečně zvládnout karty informace.
rámec PCI DSS compliance také pomáhá organizacím rozvíjet robustní procesy zabezpečení dat platebních karet, jako je prevence a detekce. Kromě toho rámec shody PCI DSS také pomáhá společnostem vyvinout vhodné reakce na incidenty v oblasti kybernetické bezpečnosti.
Mezinárodní organizace pro normalizaci (ISO) také poskytuje rámec pro dodržování předpisů. ISO je rozsáhlý soubor mezinárodních standardů určených pro zlepšování a podávání zpráv o bezpečnosti a řízení kvality v řadě průmyslových odvětví.
v rámci hlavního rámce ISO existuje řada dílčích rámců, které se vztahují na určitá průmyslová odvětví a disciplíny.
například, výrobní společnost, by pravděpodobně používat sub-rámec ISO 9000, protože ovládací prvky v tomto rámci zaměření na řízení kvality. Společnost, která chce zlepšit své systémy řízení informační bezpečnosti, by však pravděpodobně považovala kontroly uvedené v dílčím rámci kybernetické bezpečnosti ISO 27000 za užitečnější.
