Mikä on sääntöjen noudattamista koskeva kehys?
julkaistu 11. tammikuuta 2020 * 2 min Lue
compliance framework, joka tunnetaan myös compliance programina, on jäsennelty ohjeisto ja parhaita käytäntöjä, jotka kertovat yrityksen prosesseista lakisääteisten vaatimusten täyttämiseksi. Kyberturvallisuuden compliance framework keskittyy tyypillisesti riskienhallintaan ja tietoturvaan.
lakisääteisten vaatimusten täyttämisen lisäksi organisaatio käyttää compliance framework-kehyksiään turvallisuuden parantamiseen, liiketoimintaprosessien parantamiseen ja muiden liiketoiminnallisten tavoitteiden toteuttamiseen, kuten pilvituotteiden ja-palveluiden myymiseen valtion virastoille.
kyberturvallisuuskehys tarjoaa yleensä suosituksia Yrityksen kyberturvallisuusohjelman eri ominaisuuksien toteuttamiseksi ja hallitsemiseksi, mukaan lukien kulunvalvonta, salaus, todennus, seuranta, vaaratilanteiden torjunta, kehäpuolustus ja riskienhallinta.
compliance framework ja kyberturvallisuus framework tarjoavat yhteisen kielen, jota yksilöt kaikilla organisaation osa-alueilla voivat käyttää edistääkseen turvallisempia ja tehokkaampia liiketoimintakäytäntöjä.
yhtiön sisäiset tarkastajat ja muut sisäiset sidosryhmät käyttävät compliance-kehystä arvioidessaan organisaation sisäistä valvontaa. Ulkopuoliset tilintarkastajat voivat myös käyttää compliance framework-järjestelmää arvioidakseen ja todentaakseen yrityksen sisäisen valvonnan.
lisäksi esimerkiksi sijoittajat ja mahdolliset asiakkaat voivat käyttää säännösten noudattamista koskevia puitteita arvioidakseen riskiä, jonka he saattavat kohdata, jos he tekevät yhteistyötä tiettyjen yritysten kanssa, ja määrittääkseen näiden organisaatioiden kannattavuuden.
lakisääteisten vaatimusten täyttäminen on jatkuva prosessi. Tämä johtuu siitä, että yrityksen liiketoimintaympäristö muuttuu jatkuvasti. Näin ollen yksi tai useampi sen sisäinen valvonta ei välttämättä toimi yhtä tehokkaasti kuin aiemmin.
näin ollen organisaation on seurattava sääntöjenmukaisuutta koskevia puitteitaan säännöllisesti ja raportoitava havainnoistaan. Jokainen viitekehys sisältää ohjeita “säännöllisen seurannan” täsmällisestä merkityksestä.”
on olemassa useita compliance-kehyksiä, joita YRITYKSEN tietoturvaryhmä voi ottaa käyttöön lakisääteisten vaatimusten täyttämiseksi. Yksi tällainen compliance framework on Payment Card Industry Data Security Standard (PCI DSS). PCI-järjestelmällä tarkoitetaan kaikkia maksukorttien käsittelyyn osallistuvia tahoja, mukaan lukien kauppiaat, käsittelijät, hankkijat, liikkeeseenlaskijat ja palveluntarjoajat.
PCI-DSS on suunniteltu suojaamaan kortinhaltijan tietojen turvallisuutta. PCI-DSS tarjoaa ohjeita maksukorttitietojen turvaamiseen ja sisältää määritysten, mittausten, työkalujen ja tukiresurssien vaatimustenmukaisuuskehyksen, jonka avulla yritykset voivat turvallisesti käsitellä kortinhaltijan tietoja.
PCI DSS compliance framework auttaa myös organisaatioita kehittämään vankkoja maksukorttien tietoturvaprosesseja, kuten ennaltaehkäisyä ja tunnistamista. Lisäksi PCI DSS compliance framework auttaa yrityksiä kehittämään asianmukaisia vastauksia kyberturvallisuuspoikkeamiin.
Kansainvälinen standardointijärjestö (ISO) tarjoaa myös säännöstenmukaisuutta koskevan kehyksen. ISO on laaja joukko kansainvälisiä standardeja, jotka on suunniteltu turvallisuuden ja laadunhallinnan parantamiseen ja raportointiin useilla toimialoilla.
ISO: n pääkehyksessä on useita alakehyksiä, jotka koskevat tiettyjä toimialoja ja tieteenaloja.
esimerkiksi valmistava yritys käyttäisi todennäköisesti ISO 9000-standardia, koska sen valvonta keskittyy laadunhallintaan. Yritys, joka haluaa parantaa tietoturvan hallintajärjestelmiään, pitäisi kuitenkin todennäköisesti iso 27000: n kyberturvallisuus-alakehyksessä esitettyjä kontrolleja hyödyllisempinä.
