Wat is een Compliance Framework?
gepubliceerd 11 januari 2020 * 2 min read
A compliance framework, ook bekend als een compliance program, is een gestructureerde set van richtlijnen en best practices die de processen van een bedrijf om te voldoen aan de wettelijke vereisten gedetailleerd. Een cybersecurity compliance framework draait meestal om risicobeheer en gegevensbeveiliging.
naast het voldoen aan de vereisten voor naleving van de regelgeving, gebruikt een organisatie haar compliance framework(s) om de beveiliging te verbeteren, bedrijfsprocessen te verbeteren en andere bedrijfsdoelstellingen te realiseren, zoals de verkoop van cloudproducten en-diensten aan overheidsinstanties.
een cybersecurity framework biedt over het algemeen aanbevelingen voor het implementeren en beheren van de verschillende functies van het cybersecurity programma van een bedrijf, waaronder Toegangscontrole, encryptie, authenticatie, monitoring, incident response, Perimeter defense en risicobeheer.
een compliance framework en een cybersecurity framework bieden een gemeenschappelijke taal die individuen op alle gebieden van een organisatie kunnen gebruiken om veiligere en efficiëntere bedrijfspraktijken aan te moedigen.
de interne auditors van een bedrijf en andere interne belanghebbenden gebruiken het compliance framework om de interne controles van de organisatie te evalueren. Externe auditors kunnen het compliance framework ook gebruiken om de interne controles van een bedrijf te evalueren en te verifiëren.
daarnaast kunnen beleggers en potentiële klanten bijvoorbeeld gebruik maken van kaders voor naleving van de regelgeving om het risico te evalueren waarmee zij geconfronteerd kunnen worden als zij samenwerken met bepaalde bedrijven en ook de winstgevendheid van deze organisaties bepalen.
voldoen aan de vereisten voor naleving van de regelgeving is een doorlopend proces. Dat komt omdat de bedrijfsomgeving van een bedrijf voortdurend verandert. Als zodanig kan het zijn dat een of meer van zijn interne controles niet zo effectief functioneren als in het verleden.
Bijgevolg moet een organisatie haar compliance framework(s) regelmatig controleren en verslag uitbrengen over haar bevindingen. Elk kader bevat richtsnoeren over de precieze betekenis van “regelmatige monitoring”.”
er zijn een aantal compliance frameworks die het informatiebeveiligingsteam van een bedrijf kan gebruiken om te voldoen aan wettelijke vereisten. Een van deze compliance framework is de Payment Card Industry Data Security Standard (PCI DSS). De PCI DSS is van toepassing op alle entiteiten die betrokken zijn bij de verwerking van betaalkaarten, met inbegrip van handelaren, verwerkers, acquirers, emittenten en dienstverleners.
de PCI DSS is ontworpen om de veiligheid van kaarthoudergegevens te beschermen. De PCI DSS biedt richtlijnen voor het beveiligen van betaalkaartgegevens en bevat een compliance framework van specificaties, metingen, tools en ondersteuningsbronnen om bedrijven in staat te stellen veilig om te gaan met kaarthouderinformatie.
het PCI DSS compliance framework helpt organisaties ook robuuste processen voor de beveiliging van betaalkaartgegevens te ontwikkelen, zoals preventie en detectie. Daarnaast helpt het PCI DSS compliance framework ook bedrijven bij het ontwikkelen van passende reacties op cybersecurity-incidenten.
de Internationale Organisatie voor normalisatie (ISO) biedt ook een kader voor de naleving van de regelgeving. ISO is een uitgebreide reeks internationale normen die zijn ontworpen voor het verbeteren en rapporteren van veiligheid en kwaliteitsmanagement in een aantal sectoren.
er zijn verschillende subkaders binnen het belangrijkste ISO-kader die van toepassing zijn op bepaalde industrieën en disciplines.
een productiebedrijf zou bijvoorbeeld waarschijnlijk het subkader ISO 9000 gebruiken omdat de controles in dit kader gericht zijn op kwaliteitsbeheer. Echter, een bedrijf dat wil zijn informatiebeveiliging management systemen te verbeteren zou waarschijnlijk vinden de controles beschreven in de ISO 27000 cybersecurity sub-framework meer behulpzaam.