Hvad er en Compliance ramme?
udgivet 11.januar 2020 • 2 min læst
en compliance-ramme, også kendt som et compliance-program, er et struktureret sæt retningslinjer og bedste praksis, der beskriver en virksomheds processer til opfyldelse af lovgivningsmæssige krav. En ramme for overholdelse af cybersikkerhed fokuserer typisk på risikostyring og datasikkerhed.
ud over at opfylde kravene til overholdelse af lovgivningen bruger en organisation sine compliance-rammer til at forbedre sikkerheden, forbedre forretningsprocesser og realisere andre forretningsmål, såsom at sælge cloud-produkter og-tjenester til offentlige myndigheder.
en cybersikkerhedsramme tilbyder generelt anbefalinger til implementering og styring af de forskellige funktioner i en virksomheds cybersikkerhedsprogram, herunder adgangskontrol, kryptering, godkendelse, overvågning, hændelsesrespons, perimeterforsvar og risikostyring.
en compliance-ramme og en cybersikkerhedsramme giver et fælles sprog, som enkeltpersoner på alle områder af en organisation kan bruge til at tilskynde til mere sikker og effektiv forretningspraksis.
en virksomheds interne revisorer og andre interne interessenter bruger compliance-rammen til at evaluere organisationens interne kontroller. Eksterne revisorer kan også bruge compliance-rammen til at evaluere og verificere en virksomheds interne kontroller.
derudover kan investorer og potentielle kunder for eksempel bruge lovgivningsmæssige overholdelsesrammer til at evaluere den risiko, de måtte have, hvis de samarbejder med visse virksomheder og også bestemmer disse organisationers rentabilitet.
opfyldelse af krav til overholdelse af lovgivningen er en løbende proces. Det skyldes, at en virksomheds forretningsmiljø konstant ændrer sig. Som sådan fungerer en eller flere af dens interne kontroller muligvis ikke så effektivt som tidligere.
derfor skal en organisation regelmæssigt overvåge sine overholdelsesrammer og rapportere om sine resultater. Hver ramme indeholder vejledning om den nøjagtige betydning af ” regelmæssig overvågning.”
der er en række compliance-rammer, som en virksomheds informationssikkerhedsteam kan vedtage for at opfylde lovkrav. En sådan compliance ramme er Payment Card Industry Data Security Standard (PCI DSS). PCI DSS gælder for alle enheder, der er involveret i betalingskortbehandling, herunder forhandlere, processorer, erhververe, udstedere og tjenesteudbydere.
PCI DSS er designet til at beskytte sikkerheden af kortholderdata. PCI DSS tilbyder vejledning i sikring af betalingskortdata og inkluderer en overholdelsesramme med specifikationer, målinger, værktøjer og supportressourcer, der gør det muligt for virksomheder at håndtere kortholderoplysninger sikkert.
PCI DSS compliance-rammen hjælper også organisationer med at udvikle robuste betalingskortdatasikkerhedsprocesser, såsom forebyggelse og detektion. Derudover hjælper PCI DSS-overholdelsesrammen også virksomheder med at udvikle passende svar på cybersikkerhedshændelser.
Den Internationale Organisation for standardisering (ISO) giver også en lovgivningsmæssig overholdelsesramme. ISO er et omfattende sæt internationale standarder designet til at forbedre og rapportere om sikkerhed og kvalitetsstyring på tværs af en række brancher.
der er en række underrammer inden for de vigtigste ISO-rammer, der gælder for visse brancher og discipliner.
for eksempel vil en fremstillingsvirksomhed sandsynligvis bruge underrammen ISO 9000, da kontrollerne i denne ramme fokuserer på kvalitetsstyring. Imidlertid vil et firma, der ønsker at forbedre sine informationssikkerhedsstyringssystemer, sandsynligvis finde de kontroller, der er skitseret i ISO 27000-underrammen for cybersikkerhed, mere nyttige.