Hva er En Compliance Framework?
Publisert 11. januar 2020 * 2 min lese
et compliance framework, også kjent som et compliance program, er et strukturert sett med retningslinjer og beste praksis som beskriver et selskaps prosesser for å oppfylle regulatoriske krav. En cybersecurity compliance framework sentre vanligvis rundt risikostyring og datasikkerhet.
i tillegg til å oppfylle forskriftsmessige samsvarskrav, bruker en organisasjon sine compliance framework (s) for å forbedre sikkerheten, forbedre forretningsprosesser og realisere andre forretningsmål, for eksempel å selge skyprodukter og tjenester til offentlige etater.
et rammeverk for cybersikkerhet gir generelt anbefalinger for å implementere og administrere de ulike funksjonene i et selskaps cybersikkerhetsprogram, inkludert tilgangskontroll, kryptering, autentisering, overvåking, hendelsesrespons, perimeterforsvar og risikostyring.
et rammeverk for samsvar og cybersikkerhet gir et felles språk som enkeltpersoner på alle områder i en organisasjon kan bruke for å oppmuntre til sikrere og mer effektiv forretningspraksis.
et selskaps interne revisorer og andre interne interessenter bruker compliance framework for å evaluere organisasjonens interne kontroller. Eksterne revisorer kan også bruke compliance framework for å evaluere og verifisere selskapets interne kontroller.
i Tillegg kan investorer og potensielle kunder, for eksempel, bruke regelverk for å vurdere risikoen de kan møte hvis de samarbeider med visse selskaper og også bestemme lønnsomheten til disse organisasjonene.
Å Oppfylle forskriftssamsvar er en pågående prosess. Det er fordi et selskaps forretningsmiljø er i stadig endring. Som sådan kan en eller flere av sine interne kontroller ikke fungere like effektivt som tidligere.
følgelig må en organisasjon overvåke sine compliance framework (s) regelmessig og rapportere om sine funn. Hvert rammeverk inneholder veiledning om den nøyaktige betydningen av ” regelmessig overvåking.”
det finnes en rekke samsvarsrammer som et selskaps informasjonssikkerhetsteam kan vedta for å møte myndighetskrav. Et slikt rammeverk er Payment Card Industry Data Security Standard (PCI DSS). PCI DSS gjelder for alle enheter som er involvert i betalingskortbehandling, inkludert forhandlere, prosessorer, innløsere, utstedere og tjenesteleverandører.
PCI DSS er utformet for å beskytte sikkerheten til kortinnehaver data. PCI DSS tilbyr veiledning om sikring av betalingskortdata og inkluderer et compliance-rammeverk av spesifikasjoner, målinger, verktøy og støtteressurser for å gjøre det mulig for bedrifter å håndtere kortholderinformasjon på en sikker måte.
PCI DSS compliance framework hjelper også organisasjoner med å utvikle robuste sikkerhetsprosesser for betalingskortdata, for eksempel forebygging og gjenkjenning. I TILLEGG HJELPER PCI DSS compliance framework også selskaper med å utvikle passende svar på cybersikkerhetshendelser.
Den Internasjonale Organisasjonen FOR Standardisering (ISO)gir også et regelverk. ISO ER et omfattende sett av internasjonale standarder designet for å forbedre og rapportere om sikkerhet og kvalitetsstyring på tvers av en rekke bransjer.
DET finnes en rekke underrammer innenfor DE VIKTIGSTE ISO-rammene som gjelder for visse bransjer og fagområder.
for eksempel vil et produksjonsfirma trolig bruke underrammen ISO 9000 siden kontrollene i dette rammeverket fokuserer på kvalitetsstyring. Men et selskap som ønsker å forbedre sine styringssystemer for informasjonssikkerhet, vil trolig finne kontrollene som er skissert I ISO 27000 cybersecurity-rammeverket, mer nyttige.