security-and-compliance-framework

Best Practice

Sicherheits- und Compliance-Frameworks

Unternehmen in stark regulierten Branchen können ein Sicherheitsframework wie PCI oder COBIT einführen, um Compliance-Initiativen zu verwalten.

Vermeiden Sie für IT-Agilität das "Rollen Ihrer eigenen" Compliance-Frameworks

Wenn es um den Datenschutz Ihrer Mitarbeiter- und Kundendaten geht, wissen IT-Experten, dass Sicherheit von größter Bedeutung ist. Aber WIE sicher ist sicher? Welche Richtlinien gibt es für die Entwicklung einer sicheren Datenübertragungsstrategie?

Heutzutage gibt es konkurrierende Frameworks, die die Compliance in allen Branchen weltweit vorantreiben. Die meisten decken den gleichen Bereich ab und verwenden sehr unterschiedliche Strukturen und Terminologien. Diese umfassenden IT-Sicherheits-Frameworks liegen vielen modernen Compliance-Standards wie Sarbanes-Oxley, den Basler Initiativen und HIPAA zugrunde.

Cybersecurity-Experte David Lacey: „Man muss vermeiden, eigene Standards oder Frameworks zu erstellen, da der Wartungsaufwand einfach zu groß ist. Bestehende Standards werden automatisch mit neuen Compliance-Anforderungen aktualisiert der bestehenden Standards."

Abhängig von Ihrem Standort und Ihrer Branche ist es wahrscheinlich, dass eines der folgenden Frameworks Ihren Ansatz für IT-Sicherheit und Compliance bestimmt:

PCI DSS

Unternehmen im Finanzdienstleistungs- oder Einzelhandelssektor müssen sich seit langem an den strengen PCI-Standard (Payment Card Industry Data Security Standard) halten.

COBIT

Control Objectives for Information and Related Technology (COBIT) ist ein vielleicht zu komplexer Satz von Best-Practice-Kontrollen, die von Prüfern entwickelt wurden, die dazu neigen, mit einem hohen Detaillierungsgrad zu arbeiten. Ein nützlicher Referenzstandard. In den USA wenden sich börsennotierte Unternehmen häufig an COBIT mit Sarbanes-Oxley.

ISO/IEC 27001 und 27002

Der älteste der IT-Sicherheitsstandards ist einer der wenigen, die von Sicherheitsmanagern für Sicherheitsmanager geschrieben wurden. Es ist ein Verhaltenskodex, keine Spezifikation, der es IT-Experten ermöglicht, ihn flexibel zu interpretieren, der für ihre Unternehmensgröße und Branche sinnvoll ist. Es hat etwa halb so viele Kontrollen wie PCI/DSS. ISO 27001 ist ein Leitfaden zum Aufbau eines Sicherheitsmanagementsystems und ISO 27002 enthält viele Details darüber, was jede Kontrolle wirklich bedeutet. Er is eine gute Wahl für ein globales Unternehmen.

NIST Informationssicherheitshandbuch

Das US National Institute of Standards and Technology bietet seine Standards in seinem Informationssicherheitshandbuch an. Für US-Unternehmen und insbesondere US-Regierungsbehörden bietet das NIST-Handbuch einen umfassenden Überblick über die Elemente des Informationssicherheitsprogramms, um Managern zu helfen, zu verstehen, wie ein Informationssicherheitsprogramm eingerichtet und implementiert wird.

ITIL

Der Standard ITIL (IT Infrastructure Library) deckt weit mehr als nur Sicherheit ab. Es ist wirklich eine Blaupause für die Ausrichtung von IT-Diensten auf das Geschäft. ITIL bietet spezifische Empfehlungen zu den Funktionen, die IT-Teams abdecken sollten, einschließlich des Sicherheitsmanagements. Bei ITIL geht es mehr um die Dienste, die ein IT-Team erbringt, um die Datensicherheit zu gewährleisten, als um die eigentlichen Sicherheitsvorkehrungen selbst.

Sobald Sie sich für ein Sicherheits-Framework entschieden haben, ist es ganz einfach, Ihre IT-Infrastruktur aufzubauen und die Tools zum Verwalten und Verschieben von Daten auszuwählen. Finden Sie Tools, die die neueste Version des Standards unterstützen und ständig aktualisiert werden, um neuen Risiken entgegenzuwirken. Hier finden Sie einige weitere Tools zur sicheren Dateiübertragung, um das Risiko und den Aufwand bei Ihrem nächsten Sicherheits- und Compliance-Audit zu verringern.