使用全面的IT遵从性策略来维护、保护和减少风险

免费试用Smartsheet

通过安迪标志2017年7月28日

自21世纪初的丑闻侵蚀了公众的信任以来,商业和企业部门的合规管理得到了极大的发展。继能源供应商安然破纪录的破产之后,世界第二大通信供应商世界通信公司(WorldCom)也迅速破产。上述两家机构之所以倒闭,是因为它们把个人利益置于对消费者的保护之上。

随着对技术的依赖和消费者期望的增加,数据和信息共享增加,企业发现自己因基础设施不足和合规措施薄弱或不存在而导致信息失败。虽然这类违规行为不是犯罪行为,但它们损害了公众的信心,并可能对公司和客户造成重大的经济损失。因此,今天的大多数企业都在努力应对监管增加带来的压力、政策和程序动荡。

当涉及到法规遵循管理时,维护和保护信息、修复问题以及提供适当的法规遵循报告的能力是必不可少的。需要考虑两个方面:内部遵从性确保遵守由内部政策定义的规则、法规和最佳实践,外部遵从性是遵循外部政府、行业和组织施加的法律、指导方针和法规的实践。

当地、联邦或国际法律通常要求遵守证明。但是,行业和组织也可以传授他们自己的标准,例如由顶级信用卡公司创建的支付卡行业数据安全标准(PCI DSS),该标准为金融交易提供安全保障。金融机构的另一项自我监管活动是自愿使用巴塞尔协议III框架,该框架用于证明资本充足性和风险分析。

本文将提供有关IT遵从性、常见行业和政府法规、框架、监管组织、好处和挑战、业务领导技巧以及在搜索IT遵从性解决方案时的建议的信息。

什么是法规遵从、治理和风险管理?

要理解个人意义上的合规性,可以想象一下每年从银行收到隐私通知,在看医生时签署HIPAA表格,或者因错误使用密码而被锁定。对于IT专业人员来说,遵从性包括维护并提供遵守内部政策和强加于公司的外部法律、指导方针或法规的系统证明的活动。

这是通过一个可辩护的过程完成的。合规有两个要素:一个侧重于合规的管理,第二个管理用于遵守和证明合规的系统的完整性。今天,随着信息的电子共享和存储影响到财务、人力资源和运营等部门,IT遵从性的角色继续增长,这些部门在信息收集、传播和报告中都依赖于IT服务。欧宝体育app官方888

IT遵从性是对信息进行适当的控制和保护,包括如何获取和存储信息、如何保护信息、信息的可用性(如何在内部和外部分发信息)以及如何保护数据。内部遵从性功能围绕业务的策略、目标和组织结构。外部考虑包括满足客户/最终用户,同时保护公司和最终用户免受伤害。专门的工具用于持续地识别、监视、报告和审计,以实现并保持合规性。

与IT遵从性相关,IT治理是管理和处理最重要的技术、战略和程序过程的功能。IT治理是整个公司治理流程的一个子集,在大多数情况下由适当的c级专业人员(如首席合规官(CCO))监督,并承担来自首席技术官(CTO)的越来越多的跨职能职责。

风险管理是通过系统控制来减轻和管理风险的实践,因此作为IT治理和IT遵从性的一个整体功能紧密结合在一起。GRC(治理、风险和遵从性)是一种有效和适当地管理策略、流程和控制的集成策略。这三个职能的集体管理- -而不是作为独立的目标- -可以消除重复并促进信息和通信的安全传播。

ISACA是谁?

随着监管环境的发展,帮助专业人员寻找信息以更好地理解这种环境的机构(包括IT经理和执行人员)也在发展。信息系统审计和控制协会(ISACA)就是这样一个组织。ISACA是一个由会员驱动的非营利组织,提供有关合规、风险管理、审计和网络安全的新闻、期刊、工具、教育、资源共享和对话。该组织还促进了IT合规专业人员的认证,包括:

  • 注册信息系统审核员
  • 获得风险和信息系统及控制证书
  • 获得企业IT治理认证
  • 注册信息经理

来自ISACA和其他组织的这些认证可以帮助专业人员理解和实施合规最佳实践。在书中审核IT基础设施的合规性,作者Martin Weiss和Michael G. Solomon讨论了当今专业人士的复杂性:“……首先,信息技术人员很少有法律背景。其次,大多数需求缺乏技术深度……(而且)许多法规在其需求中是模糊的。”他们接着说,很多时候,这取决于行业、个别公司、法律团队、高管、合规从业者和审计人员,以制定符合法律法规的方法。

理解众多法规遵从性标准

国会制定了许多监管法规。这些行为通常是对社会或经济问题的回应,因此被认为是“授权立法”。然后,适当的政府机构负责制定和执行法规授权的法规。大多数国家规定的保护措施都有特定的规定和信息保护,以通过标准化、授权和问责制来保护隐私、防止欺诈、提供安全性和保护身份。

在美国提供产品和服务的公司应该了解并遵守这些规ob欧宝娱乐app手机下载定。公司法人和首席执行官(包括首席运营官或首席技术官)负责制定政策,以实现并捍卫对相关法规的遵守。在某些情况下,这些高管对遵守法律和报告负有个人责任,可能会受到严厉的处罚,甚至入狱。还有其他合规条款,包括防止非法销毁可能受到电子发现的信息,在电子发现中,信息是在法律程序中寻求的,并在提供数据之前受到程序的约束。

除了联邦政策之外,许多公司还必须遵守国际标准,以及当地、地区和州的限制。很难确定需要哪些法律、法规、法规或命令。大多数人同意,法律团队和高管在合规官的指导和建议下,负责确定合规的范围。

影响IT遵从性的一些最著名的标准包括:

2002年的《萨班斯-奥克斯利法案》是一项全面的法规,以规范财务透明度和报告。它是由国会颁布的,作为对安然和世通不当行为的直接回应。第404节对财务报告控制领域的IT具有重要意义。

格雷姆-里奇-比利利法案(GLBA)于1999年签署,并要求金融机构管理其隐私政策的消费者保护(通过年度通知)。它还需要适当的内部和外部保障措施,甚至防止借口的威胁(通过欺诈手段、借口或猜测非法获取信息)。

联邦信息安全管理法(FISMA)该法案于2002年通过,要求对联邦机构的系统进行年度审查,以确保信息安全。

HIPAA,或健康保险流通与责任法案的第二章章节阐明了规范信息的政策和指导方针,特别是保险公司、医疗提供者和提供医疗保险的雇主的受保护健康信息(PHI)。

2001年支付卡行业数据安全标准(PCI DSS)是由万事达卡、Visa和其他信用卡公司制定的行业部署推荐,旨在为会员和服务提供商提供身份保护。

关于鉴证业务准则的声明(SSAE 16)于2011年生效,取代SAS 70作为服务机构的控制报告。数据中心、互联网服务提供商和web托管服务提供商是常见的it相关实体,适用于SSAE 16。

《巴塞尔协议III》(Basel III)适用于银行业,并帮助确定他们需要储备的资本数量,以便在损失的情况下恢复。这一规定影响了IT,因为IT需要能够执行更高级计算的软件。

哪些法规遵从性规定适用于您的组织?

对于许多组织来说,处理众多行业的大量法规是令人生畏的。在美国,公司可能受一个或几个监管机构的管辖,包括证券交易委员会(SEC)、联邦通信委员会(CC)和联邦贸易委员会(FTC)。受影响最大的行业是金融、零售和电子商务、健康保险和服务、其他保险机构、银行、国防、公用事业和有权访问敏感信息的信用卡发卡机构。但该名单还包括任何保存敏感信息的组织——例如,任何拥有社会安全号码的组织;这包括大多数雇主、政府机构和学院和大学。

很难识别不受地方、区域、州、联邦或国际法规约束的企业,尤其是全球企业。HIPAA的规定影响到医疗保险公司和从业人员,但也有一些条款影响到任何为员工提供医疗保险的雇主。除了正式的法律法规外,还要了解行业标准(如巴塞尔协议III的财务问责标准和信用卡行业的PCI DSS)。底线是,如果IT部门负责保护信息以确保信息的机密性、完整性、可靠性或可用性,那么很可能需要遵守许多法规。

合规性审计和报告

评估和审计是确定合规性的一种方法。由审计委员会执行的合规性审计可以通过对政策、程序、操作和控制的系统审查来确定公司是否遵守适用的法律。由于IT部门覆盖整个公司,因此审计通常是跨多个部门进行的。IT遵从性审计的范围确定法律和需求,评估如何满足特定的法律、需求或标准,并为不遵从性提供建议和补救措施。

在审计期间经常需要IT遵从性报告,以便提供包含遵从性证据的相关数据日志。除了审计之外,IT团队还将使用遵从性报告来发现需要在严重损害发生之前纠正的安全漏洞、潜在威胁和策略违反。平衡计分卡是衡量您的法规遵循策略是否在不影响业务任务的情况下成功执行的一种选择。

治理最佳实践框架

Gartner Research将IT治理定义为“确保有效和高效地使用IT的过程,使组织能够实现其目标。”已有许多框架可以帮助进行治理。这些包括:

  • 资讯科技基建图书馆(ITIL)有五个核心原则,使IT服务与业务目标保持一致:战略、设计、转换、操作和服务。这些组合起来为强大的IT治理结构提供了基础。为了支持日益增长的需求和信息安全的复杂性,国际标准化组织(ISO)提供了一些标准来解决支持安全和风险的控制问题。
  • CobiT框架(信息及相关技术控制目标)是由ISACA的研究机构IT治理研究所(ITGI)开发的。它是It的治理和管理框架,促进了控制的逻辑实现和组织。它可以用于通过一组四个流程域有效地连接业务目标和It目标。
  • ISO 27001确定信息安全控制的十二个目标。它采用技术中立的方法来开发集成安全管理系统(ISMS)。

谁对合规性负责?

尽管最佳实践框架可用于指导遵守法规遵从性,但实现这一切都需要人员。合规策略和实现的角色在企业内部随着部门和高管职位不断发展,包括一个专门的合规部门,该部门与首席运营官一起负责监督、计划和管理朝着IT合规工作的元素。让我们进一步了解CCO和整个合规团队的角色。

首席合规官(CCO):CCO将负责识别和管理合规风险,包括开发内部和外部控制来管理和解决合规问题。通常,CCO会设立合规部门,为企业和员工提供完整的合规服务。

总技术办公室(CTO):与CCO不同,CTO监督整个技术框架和基础设施,包括遵从性、治理和风险评估。

合规管理部门:如果一个组织有专门的遵从性部门,他们将负责管理和监督所有适用的法规和命令的遵从性。职责可能包括:

  • 风险识别
  • 实施风险控制
  • 报告控制措施的有效性
  • 解决遵从性问题
  • 为业务提供监管建议

然而,应该注意的是,虽然技术、程序和战略管理由那些承担最大责任风险的人(it人员、CIO、CFO和CEO)负责,但公司结构中的所有成员都有责任遵守保护敏感信息的法规。

IT遵从性:目标和挑战

IT遵从性的总体目标是构建一个技术、程序和战略框架,提供实现和证明公司的法律和道德完整性的方法。提供可防御的机制、政策和程序可以帮助避免以下情况:

  • 损害企业形象或消费者信任
  • 损失的收入、市场机会或股票价值
  • 补救支出(法律费用、罚款和判决、购买的消费者保护、资本收购和损失的生产力)ob欧宝娱乐app手机下载

然而,实现这一目标面临着许多挑战。首先,新法规的复杂性和范围需要解释。由于法规本身没有具体的路线图,因此有许多特定于行业的指导方针和最佳实践可以提供清晰度和指导。
其他挑战包括:

  • 缺乏员工教育
  • 影子IT问题,例如绕过公司IT系统的个人移动设备。
  • 未经授权的应用程序
  • 服务提供商的困难(云服务和数据中心)
  • 社交媒体的作用
  • 当前法规、更新和新法律的数量

IT治理、风险和遵从性管理以及软件解决方案

为了管理不断增长和变化的IT遵从性需求,许多组织实现了解决方案策略。无论您选择哪种类型的解决方案(理论框架或软件平台),都要确保它能够在当今的业务环境中工作。IT遵从性解决方案应该具有适应性(因此您可以在法规变更时更新它),允许对相关人员进行持续的内部调查、对话和教育,并有效地管理任何不遵从性问题。

GRC一词将IT合规的相互交织的功能与公司治理的总体责任结合起来,以加强风险管理活动。Gartner Research进一步强调了通过其“炒作周期,并确定七大细分市场专注于全面的综合风险管理(IRM);

  • 操作风险管理(ORM)
  • IT风险管理
  • IT供应商风险管理
  • 业务持续管理计划(BCM)
  • 审计管理
  • 公司合规性和监管
  • 企业法务管理

在这七个领域中,有两个与IT直接相关,并且在Gartner的2016年报告中综合风险管理解决方案市场指南,分析师John A. Wheeler指出:“……IT风险一直被孤立地管理,但越来越多地被认为是其他风险领域(如欺诈和弹性)失败的主要指标。”Gartner也开始使用综合风险管理作为更好地定义治理、风险管理和遵从性的强大系统的功能的短语。

在采用集成风险管理解决方案(IRMS)时,有许多框架(CobiT和ITIL)和组织(COSO)可以帮助开发最佳实践和程序。

许多组织还选择采用软件解决方案来管理IT遵从性。IT合规软件可以支持关键功能,并提供微观和宏观功能、集成特性和控制以及移动解决方案,以协助合规和风险管理。在评估合规性管理软件时,您可能需要的功能包括:

  • 识别漏洞
  • 系统控制和应用程序安全功能
  • 故障或事件后的快速恢复功能
  • 风险评估和威胁识别
  • 文件和项目管理
  • 持续的操作和维护管理
  • 审计日志和身份验证
  • 根本原因分析和取证
  • 防火墙、网络安全和恶意软件检测
  • 变更管理和故障单跟踪
  • 灾难恢复
  • 电子邮件归档

当考虑采用一个软件解决方案时,您首先需要一个清晰的计划、评估,以及对已经存在的目标、过程和过程的回顾。例如,确定需要添加或加强哪些遵从性问题,以及您将如何使用软件来协助。为了指导这一过程,有许多行业组织和专家可以在研究解决方案时帮助制定问题或收集信息。例如,Gartner的IT风险管理解决方案魔力象限,涵盖了公司遵从性部分,列出了软件供应商,并评估了他们产品的优势和合适的应用程序。ob欧宝娱乐app手机下载
在做出最终的软件选择之前,请确保:

  • 评估供应商的历史和声誉
  • 向供应商询问复杂的遵从性问题,以确保他们理解您的需求和要求
  • 演示产品并让关键人ob欧宝娱乐app手机下载员参与
  • 与行业分析师和专家合作
  • 基于特定的组织治理、风险和遵从性需求执行评估

最终,对可用软件解决方案的彻底探索将引导您找到最适合您需求的产品。ob欧宝娱乐app手机下载记住,不要被花哨的附加功能(你甚至可能不需要)所左右;让你的研究结果成为决定因素。

IT遵从性解决方案的好处和最佳实践

正如我们已经讨论过的,未能遵守法规遵从会对组织的底线产生巨大的影响。因此,建立健壮的IT遵从策略以及支持解决方案对于您的组织未来的成功至关重要。一个强大的IT遵从性解决方案可以使您:

  • 通过与GCR数据源的集成,及时了解当前的遵从性需求
  • 标准化所有所需IT GRC法规的流程
  • 通过自动化流程和工作流程提高效率
  • 向领导提供实时IT合规报告
  • 为审核保持准确的记录
  • 最大化对IT遵从性服务的投资
  • 将相关的遵从性最佳实践合并到流程和工作流中
  • 管理IT资源,确保责欧宝体育app官方888任

针对医疗保健组织的IT遵从性管理

医疗保健组织必须遵守严格的安全措施,并始终遵守HIPAA指导方针以及任何其他内部和外部规则、法规和策略。然而,这些需求是非常不稳定的,因此拥有一个系统来跟踪和管理不断变化的政府政策、技术安全程序和保险需求,对于业务成功和法律义务至关重要。

一个全面、透明的IT遵从性管理系统在组织的所有成员之间建立了一条清晰的沟通线,并确保了对法规指导方针的可见性,以及组织对这些指导方针的遵守。由于医疗保健公司必须始终保持合规性,并定期审核其流程和指南遵守情况,因此他们需要一种工具来帮助他们跟踪所有政策和程序,为审查提供关键信息,并确保其业务的完整性不会受到威胁。

Smartsheet是一个工作执行平台,使医疗保健公司能够改进合规性审查流程,管理外部规则和法规信息,跟踪和存储历史记录,同时根据HIPAA的监管要求安全地管理和共享机密信息。简化报告,在一个集中位置组织所有必要的信息,并汇总法规遵循报告以增加可见性。

有兴趣了解更多关于Smartsheet如何帮助您并最大化您的努力吗?发现医疗保健智能表

避免法规遵从和IT风险-法规遵从领导的提示

如前所述,有许多与IT遵从性相关的挑战。这里有一些建议,可以帮助你避免因不遵守规定而产生昂贵的罚款、处罚和其他法律后果:

  • 就数据隐私的各个方面教育员工,并为他们提供保护工具。
  • 为移动员工提供包含安全策略和预防机制的笔记本电脑和设备,例如远程擦除功能,以及对公司数据的安全访问。
  • 设置授权机制以限制对可下载应用程序的访问。只允许下载经批准的软件和应用程序。
  • 加强安全加密,防止无安全访问的设备访问。
  • 只使用安全和现代的云存储解决方案。

最后,一个好的IT遵从性系统涉及到当今高度连接环境的现实和复杂性。所有员工都在保护数据和合乎道德地使用设备(例如,笔记本电脑和电脑的使用,即使不在现场也要保护它们)方面发挥作用。IT遵从性比以往任何时候都更需要强大的治理框架、适当的策略和保护,以及在事件发生时保护公司的可防御流程。

使用Smartsheet发现更好的管理IT和运营的方法

通过设计一个灵活的平台来满足你的团队的需求,并随着需求的变化而适应,从而使你的员工能够超越自己。

Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作,帮助您的团队更有效地完成更多工作。报告关键指标,并通过汇总报告、仪表板和自动工作流实时了解工作情况,以保持团队的联系和信息。

当团队对要完成的工作有了清晰的认识时,就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。

Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力使信息保持最新和正确,但我们对网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性不作任何形式的明示或暗示的陈述或保证。因此,您对此类信息的任何依赖均须严格由您自行承担风险。

这些模板仅作为示例提供。这些模板绝不是法律或合规建议。这些模板的用户必须确定哪些信息是必要的,哪些信息是实现其目标所必需的。

了解为什么超过90%的财富100强公司信任Smartsheet来完成工作。

免费试用Smartsheet