As mere regulering og tilsyn gennemføres globalt , behovet for at forstå compliance politikker og procedurer bliver endnu mere vigtig . To kritiske overensstemmelsespolitikker er Payment Card Industry Data Security Standard (PCI - DSS ), og den nordamerikanske Electric Pålidelighed Corporation beskyttelse af kritisk infrastruktur ( NERC - CIP) . Begge involverer it-sikkerhed og beskyttelse af aktiver , omend i forskellige brancher. PCI - DSS
PCI - DSS krav coalesced i 2006 som en kollektiv gruppe af politikker, der kræves af fem store internationale detail elektroniske betalinger netværk : VISA , American Express , Discover, Mastercard og JCB (Japan Credit Bureau ) . De 12 krav i PCI - DSS gælder for virksomheder i den finansielle sektor , der gør forretninger med et af disse fem store kreditkortselskaber , og der enten proces , overføre eller opbevare kreditkortnumre ( også kendt som " kortholderens data "). Afsæt for PCI - DSS er at give garantier mod identitetstyveri.
NERC - CIP
CIP -standarder mandat fra NERC er på plads for at hjælpe beskytte den nordamerikanske elsystemet. Power- genererende forsyningsselskaber og magt forhandlere er underlagt disse standarder. De 18 standarder ( ikke alle enheder er genstand for alle standarder) ligner PCI - DSS , idet de styrer, hvordan et netværk skal konfigureres , og hvor de kritiske cyber aktiver skal placeres og tilgås (i modsætning til kortholderens data . )
sanktioner for manglende overholdelse
sanktioner for ikke at overholde PCI - DSS er enkle: hvis en virksomhed er fundet at være ude af overholdelse, vil de miste deres forretningsforbindelser med VISA, Mastercard osv. For virksomheder, hvis virksomhed behandler finansielle transaktioner , er deres levebrød taget væk. NERC institutter økonomiske sanktioner for virksomheder, der findes ikke at være i overensstemmelse . Bøderne kan være så højt som $ 1 million per dag for de selskaber egregiously ud af overholdelse.
Andre Compliance politikker og procedurer
Der er flere andre standarder , krav, politikker og procedurer , at organisationer skal følge for at beskytte data i denne elektroniske tidsalder . Nogle af dem omfatter : Hej
- Sarbanes- Oxley ( SOX ) : . Amerikanske føderale retningslinjer for ansvarlighed med corporate finanser og revision - Redegørelse om revisionsstandarder Nr. 70 ( SAS70 ) : revisionsstandarder til revisorer. Disse standarder kan finde anvendelse på såvel finansielle som IT-sikkerhed industrier - Health Insurance Mobilitet og Accountability Act ( HIPAA ) : . . Amerikanske føderale retningslinjer skitserer , hvordan udbydere af sundhedsydelser og andre skal beskytte en patients medicinske data
< br > Sådan Comply
der er typisk to dele passerer et PCI - DSS eller NERC - CIP konformitetskontrol : dokumentation og teknisk implementering . Den sidste del er udført af en organisations it-afdeling med vejledning typisk fra en revisor ( " QSAs , " i PCI - DSS verden). Dokumentation er typisk håndteres af tekniske forfattere , men disse standarder er så relativt nyt, at det er svært at finde en forfatter, der har faktisk erfaring med at skrive til disse politikker. PCI Guy online på http://www.thepciguy.com , er en teknisk dokumentation konsulentfirma, der har specialiseret sig i at skrive PCI - DSS , NERC - CIP og SOX overholdelse dokumentation.