Vad är en Compliance Framework?
publicerad 11 januari 2020 • 2 min läs
ett ramverk för efterlevnad, även känt som ett efterlevnadsprogram, är en strukturerad uppsättning riktlinjer och bästa praxis som beskriver ett företags processer för att uppfylla lagstadgade krav. Ett ramverk för efterlevnad av cybersäkerhet centrerar vanligtvis kring riskhantering och datasäkerhet.
förutom att uppfylla kraven på regelefterlevnad använder en organisation sina ramverk för efterlevnad för att förbättra säkerheten, förbättra affärsprocesser och förverkliga andra affärsmål, till exempel att sälja molnprodukter och tjänster till myndigheter.
ett cybersäkerhetsramverk erbjuder i allmänhet rekommendationer för implementering och hantering av olika funktioner i ett företags cybersäkerhetsprogram, inklusive åtkomstkontroll, kryptering, autentisering, övervakning, incidentrespons, perimeterförsvar och riskhantering.
ett ramverk för efterlevnad och ett ramverk för cybersäkerhet ger ett gemensamt språk som individer inom alla delar av en organisation kan använda för att uppmuntra säkrare och effektivare affärsmetoder.
ett företags interna revisorer och andra interna intressenter använder compliance framework för att utvärdera organisationens interna kontroller. Externa revisorer kan också använda compliance framework för att utvärdera och verifiera ett företags interna kontroller.
dessutom kan investerare och potentiella kunder till exempel använda regelverk för efterlevnad för att utvärdera risken de kan möta om de samarbetar med vissa företag och också bestämmer lönsamheten för dessa organisationer.
att uppfylla kraven på regelefterlevnad är en pågående process. Det beror på att ett företags affärsmiljö ständigt förändras. Som sådan kanske en eller flera av dess interna kontroller inte fungerar lika effektivt som tidigare.
följaktligen måste en organisation regelbundet övervaka sina efterlevnadsramar och rapportera om sina resultat. Varje ram innehåller vägledning om den exakta innebörden av “regelbunden övervakning.”
det finns ett antal efterlevnadsramar som ett företags informationssäkerhetsteam kan anta för att uppfylla lagstadgade krav. Ett sådant ramverk för efterlevnad är Payment Card Industry Data Security Standard (PCI DSS). PCI DSS gäller alla enheter som är involverade i betalkortsbehandling, inklusive handlare, processorer, förvärvare, emittenter och tjänsteleverantörer.
PCI DSS är utformad för att skydda säkerheten för kortinnehavarens data. PCI DSS erbjuder vägledning för att säkra betalkortsdata och innehåller ett ramverk för efterlevnad av specifikationer, mätningar, verktyg och supportresurser för att göra det möjligt för företag att säkert hantera kortinnehavarinformation.
PCI DSS compliance framework hjälper också organisationer att utveckla robusta datasäkerhetsprocesser för betalkort, såsom förebyggande och upptäckt. Dessutom hjälper PCI DSS compliance framework företag att utveckla lämpliga svar på cybersäkerhetsincidenter.
internationella organisationen för standardisering (ISO) tillhandahåller också ett regelverk för efterlevnad. ISO är en omfattande uppsättning internationella standarder utformade för att förbättra och rapportera om säkerhets-och kvalitetshantering inom ett antal branscher.
det finns en mängd olika delramar inom de viktigaste ISO-ramarna som gäller för vissa branscher och discipliner.
till exempel skulle ett tillverkningsföretag sannolikt använda delramen ISO 9000 eftersom kontrollerna i detta ramverk fokuserar på kvalitetshantering. Ett företag som vill förbättra sina informationssäkerhetshanteringssystem skulle dock sannolikt hitta de kontroller som beskrivs i ISO 27000 cybersecurity-delramen mer användbara.