Mi az A Compliance Framework?
megjelent január 11, 2020 • 2 perc olvassa el
a megfelelőségi keretrendszer, más néven megfelelőségi program, egy strukturált iránymutatás és bevált gyakorlat, amely részletezi a vállalat folyamatait a szabályozási követelmények teljesítéséhez. A kiberbiztonsági megfelelőségi keretrendszer általában a kockázatkezelésre és az adatbiztonságra összpontosít.
a jogszabályi megfelelőségi követelmények teljesítése mellett a szervezet a megfelelőségi keretrendszer(ek) et a biztonság fokozására, az üzleti folyamatok javítására és egyéb üzleti célok megvalósítására használja, például felhőalapú termékek és szolgáltatások kormányzati szerveknek történő értékesítésére.
a kiberbiztonsági keretrendszer általában ajánlásokat kínál a vállalat kiberbiztonsági programjának különféle funkcióinak végrehajtására és kezelésére, beleértve a hozzáférés-vezérlést, a titkosítást, a hitelesítést, a megfigyelést, az incidens-reagálást, a peremvédelmet és a kockázatkezelést.
a compliance framework és a cybersecurity framework olyan közös nyelvet biztosít, amelyet az egyének a szervezet minden területén használhatnak a biztonságosabb és hatékonyabb üzleti gyakorlatok ösztönzésére.
a vállalat belső ellenőrei és más belső érdekelt felek a megfelelőségi keretrendszert használják a szervezet belső kontrolljainak értékelésére. A külső könyvvizsgálók a megfelelőségi keretrendszer segítségével értékelhetik és ellenőrizhetik a vállalat belső kontrolljait.
emellett a befektetők és a leendő ügyfelek például a Szabályozási megfelelőségi keretrendszereket használhatják annak felmérésére, hogy milyen kockázatokkal szembesülhetnek, ha bizonyos vállalatokkal együttműködnek, és meghatározzák ezen szervezetek jövedelmezőségét is.
a jogszabályi megfelelőségi követelmények teljesítése folyamatos folyamat. Ez azért van, mert a vállalat üzleti környezete folyamatosan változik. Ezért előfordulhat, hogy egy vagy több belső kontrollja nem működik olyan hatékonyan, mint a múltban.
következésképpen a szervezetnek rendszeresen figyelemmel kell kísérnie a megfelelőségi keretrendszer(ek) et, és jelentést kell tennie megállapításairól. Minden keret tartalmaz útmutatást a “rendszeres ellenőrzés” pontos jelentéséről.”
számos megfelelőségi keretrendszer létezik, amelyeket a vállalat információbiztonsági csapata elfogadhat a szabályozási követelményeknek való megfelelés érdekében. Az egyik ilyen megfelelőségi keretrendszer a Payment Card Industry Data Security Standard (PCI DSS). A PCI DSS a fizetési kártya feldolgozásában részt vevő valamennyi szervezetre vonatkozik, beleértve a kereskedőket, feldolgozókat, elfogadókat, kibocsátókat és szolgáltatókat.
a PCI DSS célja a kártyabirtokosok adatainak védelme. A PCI DSS útmutatást nyújt a Fizetési kártyaadatok biztonságához, és specifikációkból, mérésekből, eszközökből és támogatási erőforrásokból álló megfelelőségi keretet tartalmaz, hogy a vállalatok biztonságosan kezelhessék a kártyabirtokos adatait.
a PCI DSS compliance framework segít a szervezeteknek olyan megbízható fizetési kártya adatbiztonsági folyamatok kidolgozásában, mint a megelőzés és az észlelés. Ezenkívül a PCI DSS megfelelőségi keretrendszer segíti a vállalatokat a kiberbiztonsági eseményekre adott megfelelő válaszok kidolgozásában.
a Nemzetközi Szabványügyi Szervezet (ISO) Szabályozási megfelelőségi keretet is biztosít. Az ISO egy átfogó nemzetközi szabványkészlet, amelynek célja a biztonság és a minőségirányítás javítása és jelentése számos iparágban.
a fő ISO keretrendszeren belül számos al-keretrendszer létezik, amelyek bizonyos iparágakra és tudományágakra vonatkoznak.
például egy gyártó vállalat valószínűleg az ISO 9000 alkeretet használná, mivel ebben a keretben az ellenőrzések a minőségirányításra összpontosítanak. Azonban egy olyan vállalat, amely javítani kívánja információbiztonsági irányítási rendszereit, valószínűleg hasznosnak találja az ISO 27000 kiberbiztonsági alkeretben felvázolt ellenőrzéseket.