什么是法规遵循、治理和风险管理?
要了解个人意义上的遵从性,可以想象一下收到银行的年度隐私通知,在看医生时签署HIPAA表格,或者因为错误使用密码而被锁定。对于IT专业人员来说,法规遵循包括维护和提供系统证据的活动,以确保遵守内部政策和强加于公司的外部法律、指导方针或法规。
这是通过一个可防御的过程来完成的。法规遵循有两个要素:一个关注法规遵循的管理,第二个管理用于遵守和证明法规遵循的系统的完整性。今天,随着信息的电子共享和存储对财务、人力资源和运营等部门的影响,IT遵从性的作用继续增长,这些部门的信息收集、传播和报告都依赖于IT服务。欧宝体育app官方888
IT遵从性是对信息进行适当的控制和保护,包括如何获取和存储信息、如何保护信息、其可用性(如何在内部和外部分布信息)以及如何保护数据。内部法规遵循功能围绕业务的策略、目标和组织结构展开。外部考虑包括满足客户/最终用户,同时保护公司和最终用户免受伤害。使用专门的工具来持续识别、监视、报告和审计,以实现并保持遵从性。
与IT遵从性相关,IT治理是管理和处理压倒一切的技术、战略和过程过程的功能。IT治理是整个公司治理过程的一个子集,在大多数情况下由适当的C-suite专业人员监督,如首席合规官(CCO),并由首席技术官(CTO)负责增加跨职能职责。
风险管理是通过系统控制来减轻和管理风险的实践,因此是作为IT治理和IT遵从性的一个完整功能紧密结合的。GRC(治理、风险和遵从性)是一种有效且适当地管理策略、过程和控制的集成策略。对这三项职能的集体管理- -而不是作为独立的目标- -可以消除重复并促进信息和通讯的安全传播。
ISACA是谁?
随着监管环境的发展,帮助专业人员寻找信息以更好地理解环境(包括IT经理和执行人员)的机构也在发展。信息系统审计和控制协会(ISACA)就是这样一个组织。ISACA是一个由成员驱动的非营利性组织,提供关于合规、风险管理、审计和网络安全的新闻、期刊、工具、教育、资源共享和对话。该组织还促进了IT合规专业人员的认证,包括:
- 注册信息系统审核员
- 风险和信息系统及控制认证
- 企业IT治理认证
- 认证信息管理人员
这些来自ISACA和其他组织的认证可以帮助专业人员理解和实施合规最佳实践。在书中审核IT基础设施的遵从性,作者马丁·韦斯和迈克尔·g·所罗门讨论了当今专业人士的复杂性:“……首先,信息技术人员很少有法律背景。其次,大多数需求缺乏技术深度……(而且)许多法规的需求是模糊的。”他们继续说,很多时候都是由行业、个别公司、法律团队、高管、法规遵循从业者和审计师来制定符合法律法规的方法。
了解众多法规遵从标准
国会制定了许多监管法规。这些法案通常是对社会或经济问题的回应,因此被认为是“授权立法”。然后由适当的政府机构负责制定和执行规约所授权的规章。大多数国家规定的保护措施都有具体的规定和信息保护,以通过标准化、授权和问责来保护隐私、防止欺诈、提供安全性和保护身份。
在美国提供产品和服务的公司应该了解并遵守这些规ob欧宝娱乐app手机下载定。公司法人实体和首席执行官(包括CCOs或cto)负责制定政策,以实现并维护对相关法规的遵守。在某些情况下,这些高管对合法遵守和报告负有个人责任,可能会受到严厉的处罚,甚至坐牢。还有其他关于遵守规定的规定,包括保护信息不被非法销毁,这些信息可能受到电子发现的影响,电子发现是指在法律程序中寻求信息,并在提供数据之前经过程序。
除了联邦政策之外,许多公司还必须遵守国际标准,以及地方、地区和州的限制。很难确定需要哪些法律、法规、法规或授权。大多数人都同意,法律团队和首席执行官在合规官的指导和建议下,负责确定合规的范围。
影响IT遵从性的一些最著名的标准包括:
2002年的萨班斯-奥克斯利法案是一项监管财务透明度和财务报告的全面法规。它是由国会制定的,作为对安然和世通不当行为的直接回应。第404条对IT在财务报告控制领域具有重要意义。
《金融服务现代化法案》法案(GLBA)该法案于1999年签署,授权金融机构管理其隐私政策的消费者保护(通过年度通知)。它还需要适当的内部和外部保障措施,甚至防止借口(通过欺诈手段、借口或猜测非法获取信息)的威胁。
联邦信息安全管理法(FISMA)该法案于2002年通过,通过要求对系统进行年度审查,授权联邦官僚机构进行信息安全。
HIPAA《健康保险可携性与责任法案》的第二节阐明了监管信息的政策和指导方针,特别是由保险公司、医疗提供者和提供医疗保险的雇主提供的受保护的健康信息(PHI)。
2001年支付卡行业数据安全标准(PCI DSS)是由万事达、维萨和其他信用卡公司制定的一项行业部署建议,为会员和服务提供商提供身份保护。
认证业务标准声明(SSAE第16章)于2011年生效,取代SAS 70作为服务组织控制报告。数据中心、isp和web主机服务提供商是SSAE 16适用的常见it相关实体。
《巴塞尔协议III》(Basel III)适用于银行业,帮助确定他们需要储备的资本数额,以便在亏损的情况下恢复。这一规定影响了IT行业,因为它需要能够执行更高级计算的软件。
哪些合规规定适用于您的组织?
对于许多组织来说,处理跨越多个行业的大量法规是令人生畏的。在美国,一家公司可能受制于一个或几个监管机构,包括证券交易委员会(SEC)、联邦通信委员会(CC)和联邦贸易委员会(FTC)。受影响最大的行业是金融、零售和电子商务、健康保险和服务、其他保险机构、银行、国防、公用事业和可以访问敏感信息的信用卡发行者。但这份名单也包括任何保存敏感信息的组织——例如,任何拥有社会保险号的组织;这包括大多数雇主、政府实体和学院和大学。
很难确定不受地方、地区、州、联邦或国际法规约束的企业,特别是全球性企业。HIPAA的规定影响到医疗保险公司和从业人员,但也有一些规定影响到向员工提供医疗保险的任何雇主。除了正式的法律法规,还要了解行业标准(如巴塞尔III的财务问责标准和信用卡行业的PCI DSS)。底线是,如果IT部门负责保护信息,以确保信息的机密性、完整性、可靠性或可用性,那么很有可能存在大量要求遵从的法规。
合规审核及报告
评估和审计是确定合规性的一种方法。合规审计由审计委员会执行,通过对政策、程序、操作和控制的系统审查,可以确定公司是否遵守了适用的法律。由于IT覆盖全公司,审计通常是跨多个部门进行的。IT遵从性审计的范围确定法律和需求,评估具体的法律、需求或标准是如何得到满足的,并为不遵从提供建议和补救措施。
在审计期间经常需要IT遵从性报告,以便提供包含遵从性证据的相关数据日志。除了审计之外,IT团队还将使用遵从性报告来发现需要在严重损害发生之前纠正的安全漏洞、潜在威胁和策略违反。平衡计分卡是衡量您的遵从策略是否在不影响业务任务的情况下被成功执行的一个选项。
管治最佳实践框架
Gartner Research将IT治理定义为“确保有效和高效地使用IT,使组织能够实现其目标的过程”。已经存在许多帮助治理的框架。这些包括:
- 信息技术基础设施图书馆(ITIL)有五个核心原则,使IT服务与业务目标保持一致:策略、设计、转换、操作和服务。这些结合起来为强大的IT治理结构提供了基础。为了满足日益增长的信息安全需求和信息安全的复杂性,国际标准化组织(ISO)提供了一些标准来解决支持安全和风险的控制问题。
- CobiT框架(信息及相关技术控制目标)是由ISACA的一个研究机构IT治理研究所(ITGI)制定的。它是用于It的治理和管理框架,可促进控制的逻辑实现和组织。它可以用于通过一组四个流程域有效地将业务目标和It目标联系起来。
- ISO 27001确定信息安全控制的十二个目标。它采用技术中立的方法来开发集成安全管理系统(ISMS)。
谁对合规负责?
尽管可以使用最佳实践框架来指导遵从遵从性法规,但是需要人来实现这一切。法规遵循策略和实现的角色在企业内部不断演变,包括部门和C-Suite职位,包括一个专门的法规遵循部门,该部门与CCO一起负责监督、计划和管理朝向IT法规遵循工作的元素。让我们进一步了解一下CCO和整个合规团队的角色。
总合规主任:首席合规官将负责识别和管理合规风险,包括制定内部和外部控制,以管理和解决合规问题。通常,CCO会设立一个合规部门,为业务和员工提供完整的合规服务。
总技术主任:与CCO不同,CTO监督整个技术框架和基础设施,包括遵从性、治理和风险评估。
合规管理部门:如果一个组织有一个专门的合规部门,他们将负责管理和监督所有适用的法规和授权的合规。任务可能包括:
- 风险识别
- 实施风险控制
- 汇报控制的有效性
- 解决合规问题
- 为业务提供监管建议
然而,应该注意的是,虽然技术、程序和战略管理由负有最大责任风险的人负责(it人员、CIO、CFO和CEO),但公司结构中的所有组成部分都有责任遵守保护敏感信息的法规。
IT遵从性:目标和挑战
IT遵从性的总体目标是构建一个技术、程序和战略框架,该框架提供了实现和证明公司的法律和道德完整性的方法。提供可靠的机制、政策和程序可以帮助避免以下情况:
- 损害企业形象、信誉或消费者信任
- 损失收入、市场机会或股票价值
- 补救支出(法律费用、罚款和判决、购买的消费者保护、资本收购和生产力损失)ob欧宝娱乐app手机下载
然而,实现这一目标面临着许多挑战。首先,新法规的复杂性和范围受制于解释。由于法规本身没有提供具体的路线图,因此有许多特定于行业的指导方针和最佳实践提供了明确的指导。
其他挑战包括:
- 员工教育不足
- 影子IT问题,例如绕过公司IT系统的个人移动设备。
- 未经授权的应用程序
- 与服务提供商(云服务和数据中心)的困难
- 社交媒体的作用
- 现行法规、更新和新法律的数量
IT治理、风险、法规遵循管理和软件解决方案
为了管理IT遵从性的许多不断增长和变化的需求,许多组织实现了解决方案策略。无论您选择哪种类型的解决方案(理论框架或软件平台),都要确保它能够在当前的业务环境中工作。IT遵从性解决方案应该是可适应的(因此您可以在规则更改时更新它),允许持续的内部调查、对话和对相关人员的教育,并有效地管理任何不遵从性问题。
GRC一词将IT合规的交织功能与公司治理的首要责任结合起来,以加强风险管理活动。高德纳研究公司特别强调通过他们的“支持风险管理”的重要性。炒作周期”和标识七个细分市场关注整体综合风险管理(IRM):
- 操作风险管理(ORM)
- 它的风险管理
- IT供应商风险管理
- 业务连续性管理计划(BCM)
- 审计管理
- 公司合规与监管
- 企业法律管理
在这七个领域中,有两个与IT直接相关,并且在Gartner的2016年报告中综合风险管理解决方案市场指南,分析师John A. Wheeler指出:“……IT风险一直被管理在单井中,但越来越多地被认为是其他风险领域失败的主要指标,如欺诈和弹性。”Gartner也开始使用综合风险管理作为一个短语来更好地定义治理、风险管理和法规遵循的强大系统的功能。
在采用集成风险管理解决方案(IRMS)时,有许多可用的框架(CobiT和ITIL)和组织(COSO)来帮助开发最佳实践和过程。
许多组织还选择采用软件解决方案来管理IT遵从性。IT法规遵循软件可以支持关键功能,并提供微观和宏观功能、集成特性和控制以及移动解决方案,以协助法规遵循和风险管理。在评估合规管理软件时,您可能寻求的功能包括:
- 识别漏洞
- 系统控制和应用程序安全功能
- 故障或事故后的快速恢复功能
- 风险评估和威胁识别
- 文件和项目管理
- 持续运维管理
- 审计日志和认证
- 根本原因分析和取证
- 防火墙,网络安全,恶意软件检测
- 变更管理和故障单跟踪
- 灾难恢复
- 电子邮件归档
当考虑采用软件解决方案时,您首先需要对已经到位的目标、过程和过程有一个清晰的计划、评估和审查。例如,确定哪些遵从性问题需要添加或加强,以及您将如何使用软件进行辅助。为了指导这一过程,有许多行业组织和专家可以在研究解决方案时帮助制定问题或收集信息。例如,IT风险管理解决方案的Gartner Magic象限,涵盖了公司合规部门,列出软件供应商,并评估其产品的优势和适当的应用程序。ob欧宝娱乐app手机下载
在最终选择软件之前,请确保:
- 评估供应商的历史和声誉
- 向供应商询问复杂的遵从性问题,以确保他们理解您的需求和要求
- 演示产品并让关键人ob欧宝娱乐app手机下载员参与
- 与行业分析师和专家合作
- 基于特定的组织治理、风险和遵从性需求执行评估
最终,对可用软件解决方案的彻底探索将引导您找到最适合您需求的产品。ob欧宝娱乐app手机下载记住不要被花哨的附加功能所左右(你甚至可能不需要);让你的研究结果成为决定因素。
IT遵从性解决方案的好处和最佳实践
正如我们所讨论的,未能遵守法规遵循可能会对组织的底线产生很大的影响。因此,建立一个健壮的IT遵从策略以及支持的解决方案对于您的组织未来的成功是至关重要的。一个强有力的IT遵从性解决方案可以使您:
- 通过与GCR数据源的集成跟上当前的法规遵循需求
- 标准化所有需要的IT GRC法规的流程
- 利用自动化流程和工作流提高效率
- 提供实时IT遵从性报告
- 为审核保持准确的记录
- 最大化IT遵从性服务的投资
- 将相关的法规遵循最佳实践合并到流程和工作流中
- 管理IT资源并确保问欧宝体育app官方888责制
针对医疗保健组织的IT遵从性管理
医疗保健组织必须遵守严格的安全措施,并遵守HIPAA指导方针以及任何其他内部和外部规则、法规和策略。然而,这些需求是非常不稳定的,因此有一个系统来跟踪和管理不断变化的政府政策、技术安全程序和保险需求,对于业务成功和法律义务是必不可少的。
一个全面的、透明的IT法规遵循管理系统在组织的所有成员之间建立了一条清晰的沟通线,并确保法规指导方针的可见性,以及组织遵守这些指导方针的情况。由于医疗保健公司必须始终保持遵从性,并定期审计其流程和指导方针的遵守情况,因此它们需要一个工具来帮助它们跟踪所有政策和流程,为审查提供关键信息,并确保业务的完整性不会受到威胁。
Smartsheet是一个工作执行平台,它使医疗保健公司能够改进合规性审查流程,管理外部规则和监管信息,跟踪和存储历史记录,同时根据HIPAA的监管要求安全地管理和共享机密信息。简化报告,将所有必要的信息组织在一个集中的位置,并汇总遵从性报告以增加可见性。
有兴趣了解Smartsheet如何帮助您最大化您的努力吗?发现内容为医疗保健.
避免遵从性和IT风险——给遵从性领导者的提示
如前所述,与IT遵从性相关的挑战有很多。这里有几个建议,可以帮助你避免昂贵的罚款、处罚和其他与不遵守相关的法律后果:
- 教育员工有关资料私隐的各方面知识,并为他们提供保护资料的工具。
- 为移动员工提供包含安全策略和预防机制(如远程擦除功能)的笔记本电脑和设备,并安全访问公司数据。
- 采用授权机制来限制对可下载应用程序的访问。只允许下载经过批准的软件和应用程序。
- 加强加密以确保安全,并防止非安全访问的设备访问。
- 只使用安全、现代的云存储解决方案。
最后,一个好的IT遵从性系统涉及到当今高度连接环境的现实和复杂性。所有员工都应在保护数据和合乎道德地使用设备方面发挥作用(例如,笔记本电脑和计算机的使用以及即使在场外也要保护它们)。IT遵从性比以往任何时候都需要强大的治理框架、适当的策略和保护,以及可防御的过程,以便在发生事故时保护公司。
用Smartsheet发现更好的IT和运营管理方法
通过设计一个灵活的平台来满足团队的需求,并根据这些需求的变化进行调整,使你的员工能够超越这些需求。
Smartsheet平台可以方便地在任何地方计划、捕获、管理和报告工作,帮助您的团队更有效地完成更多工作。报告关键指标,并在工作发生时通过滚动报告、仪表板和自动工作流来获得实时可视性,以保持团队的联系和消息灵通。
当团队清楚要完成的工作时,没有人知道在同样的时间内他们能多完成多少。今天就可以免费试用Smartsheet。
Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力保持信息的最新和正确,但我们不就网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性作出任何形式的明示或暗示的陈述或保证。因此,您对此类信息的任何依赖都将严格由您自己承担风险。
这些模板仅作为示例提供。这些模板绝不是法律或遵从性建议。这些模板的用户必须确定实现其目标所需的信息。