编者按: The following is a sponsored blog post from AuditBoard.
在一些组织中,信息安全和遵从性是孤立的, 但是功能之间更大的协作减少了安全风险并提高了遵从性. 协作将这些功能从成本中心转变为真正的业务推动者, 但是,信息安全和法规遵从如何相互依赖地工作以提供效率和价值呢?
- Information security leaders ask: How do I make sure compliance is not just a check-the-box exercise?
- Compliance leaders ask: 我们如何与信息安全战略计划和路线图保持一致,以确保解决合规性方面的差距?
- Leaders of both functions ask: 我们有什么合作的机会,这将有利于整个组织?
我们根据自己在审计委员会担任信息安全副总裁和安全合规总监的经验,讨论我们的每个职能部门的贡献,以及我们的团队如何协同工作以确保战略一致.
Partnership Opportunities to Add Value
我们发现我们的合规性和信息安全功能一起增加了更多的价值. 事实上,安全框架标准本身可能会推动伙伴关系的发展. 例如, 我们的信息安全计划是基于国际标准组织(ISO)和国家研究所(NIST)的框架. ISO的框架特别强调整个组织的问责制, which facilitates partnership opportunities. Through a variety of efforts, we collaborate to add more value, 这表明合规性和信息安全都不仅仅是成本中心. Here are two examples:
- Working together to build business cases and budget: 合规性可以帮助确定在客户合同或合规性框架中进行安全投资的理由,这些框架使收入产生的安全性不仅仅是成本中心. 随着我们的成长, 我们已经获得了更多的客户,他们的监管要求受到国际法规的约束. 合规性和信息安全协同工作,以驾驭来自多个司法管辖区的重叠法规,同时满足新的客户需求并实现有利于所有客户的新的安全控制.
- Developing security initiatives to reduce risk: 信息安全团队可能对澳门赌场官方下载可能面临的威胁有最好的了解, 但是,合规可以提供“行业标准”和最佳实践,以实现客户和监管机构期望的控制措施,以减轻这些威胁. 以这种方式, compliance can serve in a product manager role, helping refine product security requirements. 合规性和信息安全共同确定降低风险的最佳控制措施.
- Connecting data for comprehensive visibility: 有许多信息安全功能和控制需要组织资产的全面视图才能有效:漏洞管理, endpoint monitoring, zero trust access control, 还有更多. 在评估范围确定期间,法规遵循对全面可见性也有类似的需求. 没有比在没有任何安全控制的情况下发现流氓资产更容易导致审计失败的了. 结果是, 合规性和信息安全有很好的机会合作并结合有关您负责保护的资产范围的信息,以使其与风险优先级保持一致.
- 治理 and risk management leverage: Depending on organizational structure, 信息安全和法规遵从团队可能并不总是具有一致或有效地影响风险意识决策的杠杆作用. 合规团队可以从首席信息安全官在制定政策或执行风险接受问责制方面的权威中受益,从而增加他们的影响力. Compliance teams tend to have closer partnerships in the business, 信息安全团队的影响力同样可以通过利用法规遵从团队与法律部门的牢固关系来提高, finance and procurement.
Compliance and Information Security in Collaboration
当信息安全和法规遵从功能协作时,整个澳门赌场官方下载都会受益. Common opportunities for collaboration include prioritizing controls, conducting risk assessments and quantifying risk.
- Prioritizing controls: With strong relationships throughout the business, 合规性可以为各种记录创建单一的事实来源, 比如资产, 人, 和数据. 一旦确定, 事实来源为信息安全提供了确定优先级和应用安全控制的方法.
- Conducting risk assessments: Many security frameworks indicate a need for risk assessments. Technology assets are certainly a part of those. 例如,对于ISO框架,遵从性启动风险评估. 信息安全可以将风险分配给结构化的关键资产 IT risk management (ITRM) process. ITRM使全面了解资产状况成为可能, so it becomes straightforward to identify areas of high risk.
- 量化风险: We see a movement from older, “impact versus likelihood” risk assessment approaches toward modern, quantitative risk assessments. 信息安全可以提供历史事件数据,为风险可能性的计算提供信息,并通过精确定位源自每个事件的控制故障来支持问题管理.
Facilitating Collaboration for Risk-Informed Decision-Making
信息安全和法规遵从性存在巨大的合作机会,可以减少安全风险并促进法规遵从性工作. 可进一步促进合规性与资讯保安之间的紧密合作 compliance management technology 简化在证据收集、差距分析和问题补救方面的合作. In environments with multiple security frameworks, 两个团队都可以从对框架和控制评估的实时可见性中获益. By adopting processes that foster collaboration, 这些功能可以将自己从成本中心转变为真正的业务推动者.
