为了避免违反任何法律、法令、法规或合同义务,以及任何安全要求,公司需要建立合规性管理机制。
1)法律法规的识别
信息系统的设计、运行、使用和管理都要受法令、法规以及合同安全要求的限制。应从组织的法律顾问或者合格的法律从业人员处获得特定的法律要求建议。法律要求因国家而异,而且对于在一个国家所产生的信息发送到另一国家(即越境的数据流)的法律要求亦不同。
2)记录的保护
应防止重要的记录遗失、毁坏和伪造,以满足法令、法规、合同和业务的要求。
应将记录分为以下记录类型:账号记录、数据库记录、事务日志、审核日志和运行程序等,每个程序都带有详细的保存周期和存储介质的类型。
应考虑存储记录的介质性能下降的可能性。应按照制造商的建议实施存储和处理程序。
应选择数据存储系统,使得所需要的数据能根据要满足的要求,在可接受的时间内,以可接受的格式检索出来。
存储和处理系统应确保能按照国家或地区法律或法规的规定,清晰地标识出记录及其保存期限。该系统应允许在保存期后恰当地销毁记录,如果组织不需要这些记录的话。
3)安全策略和标准合规性
管理人员应确保在其职责范围内的所有安全规范被正确地执行,以确保符合安全策略及标准规范。
管理人员应对自己职责范围内的信息处理是否符合安全策略、标准和任何其他安全要求进行定期评审。如果评审结果发现有任何不符合,管理人员应确定不符合的原因、评价确保不符合不再发生的措施需要、确定并实施适当的纠正措施和评审所采取的纠正措施。
评审结果和管理人员采取的纠正措施应被记录,且这些记录应予以维护。当在管理人员的职责范围内进行独立评审时,管理人员应将结果报告给执行独立评审的人员。
4)技术合规性检查
信息系统应被定期检查是否符合安全实施标准。技术符合性检查应由有经验的工程师或技术专家执行,可出具供后续解释的技术报告。任何技术符合性检查应仅由有能力的、已授权的人员来完成,或在他们的监督下完成。
技术符合性检查包括检查运行系统,以确保硬件和软件控制措施被正确实施。这种类型的符合性检查需要专业技术专家。符合性检查还包括渗透测试和脆弱性评估,该项工作可以由针对此目的而专门签约的独立专家来完成。符合性检查有助于检测系统的脆弱性和检查为预防由于这些脆弱性引起的未授权访问而采取的控制措施的有效性。
涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险。
5)个人信息保护
应制定和实施组织的数据保护和隐私策略,该策略应告知涉及个人信息处理的所有人员。
根据国家控制个人数据收集、处理和传输的法律,应由那些收集、处理和传播个人信息的人承担责任,而且应限制将该数据转移到其他国家。
符合该策略和所有相关的数据保护法律法规需要合适的管理结构和控制,应向管理人员、用户和服务提供商提供他们各自的职责以及应遵守的特定程序的指南。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。