合規(guī)：我不能理解一些安全專業(yè)人員，特別是不會(huì)每日 或甚至每時(shí)處理問(wèn)題的首席信息安全官(CISO)。如果公司要遵從的不是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(簡(jiǎn)稱PCI DSS)，那么可能是HIPAA法案、GLB法案、薩班斯法案或是許多其它私有和安全法令之一。保護(hù)企業(yè)的數(shù)據(jù)很必要，同時(shí)也要保證企業(yè)履行合規(guī)的要求。

　　所以CISO如何才能正確地管理合規(guī)?CISO需要有什么樣的關(guān)鍵管理過(guò)程、優(yōu)先級(jí)排序和心態(tài)，才能確保信息安全團(tuán)隊(duì)能讓企業(yè)滿足合規(guī)要求?本文我想介紹可能有助于你獲得成功的四個(gè)方面。

　　你的口頭禪：保護(hù)數(shù)據(jù)

　　首先，記住作為CISO你的角色是公司信息安全的代表。不管是什么特定的合規(guī)要求，你的首要工作是保護(hù)公司的數(shù)據(jù)，并且還要保護(hù)你的員工、廠商、顧客和你的股東。

　　如果你查看關(guān)鍵合規(guī)指導(dǎo)方針——包括PCI DSS、HIPAA或是NERC要求——其核心的主題都是保護(hù)系統(tǒng)、數(shù)據(jù)和防止數(shù)據(jù)丟失?；旧洗蠖鄶?shù)合規(guī)要求的基本原則是維持“CIA”：即數(shù)據(jù)和系統(tǒng)的保密性(confidentiality)、完整性(integrity)和可用性(availability)。

　　了解管理合規(guī)的要求

　　其次，了解你必須遵從的合規(guī)要求。閱讀并研究它們，并且對(duì)照它們進(jìn)行自審和評(píng)估。掌握關(guān)于這些法令的相關(guān)解釋、裁決和新聞最新動(dòng)態(tài)。例如訂閱關(guān)于PCI DSS、HIPAA或NERC的新聞，或者創(chuàng)建Google Alert，了解關(guān)于信用卡安全，或是任何和你行業(yè)最相關(guān)的新聞。通過(guò)了解要求和保持對(duì)這些主題的行業(yè)交流，你將能夠?qū)赡軙?huì)影響公司合規(guī)狀態(tài)的決策結(jié)果更了解。

　　你還可以通過(guò)使用行業(yè)評(píng)估檢查列表(用于指導(dǎo)變更管理或者架構(gòu)評(píng)審)來(lái)了解要求。確保對(duì)系統(tǒng)的變更——即使是那些和合規(guī)主題沒(méi)有直接關(guān)聯(lián)的——不會(huì)使數(shù)據(jù)或系統(tǒng)面臨潛在的危險(xiǎn)。

　　安全學(xué)習(xí) 和安全意識(shí)

　　作為CISO，我堅(jiān)信員工是公司的第一道防線。要確保員工和承包商意識(shí)到他們的行為，或者不作為可能會(huì)導(dǎo)致數(shù)據(jù)泄露或違規(guī)的情況。那么，你如何傳達(dá)這些信息呢?

　　第一步是查看業(yè)務(wù)過(guò)程，并且推斷在數(shù)據(jù)流和系統(tǒng)操作中因?yàn)闆](méi)履行特定的要求而導(dǎo)致違規(guī)的地方。使用這些信息，花時(shí)間對(duì)關(guān)鍵員工進(jìn)行學(xué)習(xí) ，并且進(jìn)行責(zé)任定位以保護(hù)信息安全。

　　例如，就PCI DSS法案來(lái)說(shuō)，一個(gè)潛在的薄弱區(qū)域是在銷售點(diǎn)終端機(jī)處理信用卡數(shù)據(jù)。恰當(dāng)?shù)姆椒?并且甚至是PCI DSS要求的)是花時(shí)間向面對(duì)客戶的員工——或者至少制定一些基于計(jì)算機(jī)的學(xué)習(xí) 或員工安全意識(shí)手冊(cè)——解釋處理信用卡的正確和不正確的方式，例如不要復(fù)制信用卡號(hào)。

　　在這方面的其它方法還有指導(dǎo)開(kāi)發(fā)重要Web應(yīng)用的員工進(jìn)行測(cè)試和數(shù)據(jù)校驗(yàn)，或是學(xué)習(xí) 所有便攜式電腦用戶如何在外出旅行時(shí)安全防護(hù)他們的機(jī)器。

　　換句話說(shuō)，要經(jīng)常學(xué)習(xí) 和指導(dǎo)員工了解采取某些行為的原因，以及如果數(shù)據(jù)沒(méi)有得到恰當(dāng)?shù)乇Ｗo(hù)會(huì)給公司名譽(yù)和員工帶來(lái)的影響。

　　了解根源

　　如果發(fā)生事故，該事故可能會(huì)讓公司的法規(guī)遵從受到質(zhì)疑，所以必須花時(shí)間和精力來(lái)理解事故的根本原因。不要只是掩蓋征兆，要真正地理解發(fā)生了什么和為什么會(huì)發(fā)生。然后花時(shí)間思考補(bǔ)救措施，來(lái)解決問(wèn)題和防止事件再次發(fā)生。確認(rèn)和追蹤這些補(bǔ)救措施確實(shí)完成。

　　這個(gè)方法也將有助于你與監(jiān)管人員及合規(guī)監(jiān)督者溝通。通過(guò)了解你的問(wèn)題和事件，你會(huì)闡明你不想讓錯(cuò)誤發(fā)生和你愿意付出時(shí)間和努力來(lái)防止問(wèn)題再次發(fā)生。如果到了罰款或處罰的地步，如果你一直和監(jiān)管者保持坦誠(chéng)，他們很可能會(huì)寬大處理。

　　持續(xù)的壓力

　　作為CISO，我經(jīng)常對(duì)我的安全團(tuán)隊(duì)同事說(shuō)，我們最重要的工作是持續(xù)關(guān)注公司合規(guī)和數(shù)據(jù)安全。不幸的是，這可能并不容易實(shí)現(xiàn)，并且有時(shí)還具有挑戰(zhàn)性，但是你需要保持這個(gè)壓力來(lái)保持和提高你所在企業(yè)的安全狀況。