11、制定信息与数据安全计划

制定信息与数据安全计划

1. 信息安全计划的合理规模分析

在构建信息安全计划时，确保其与组织需求相匹配至关重要。这就需要关注一些关键数据点，以确定以业务为导向的信息安全要求。

1.1 合规要求

组织需遵循的合规要求对信息安全计划的整体规划和实施有着重大影响。不同法律和合规框架的要求差异很大，因此理解自身所处的框架对于组织持续成功开展业务至关重要。若不了解组织的法律要求，可能会面临严重罚款甚至停业的风险。以下是一些常见法律框架及其关键要求和受影响的组织：
| 法律框架 | 关键要求 | 受影响组织 |
| — | — | — |
| 《萨班斯 - 奥克斯利法案》（SOX），2002 年 | 审计独立性、上市公司会计监督、分析师利益冲突、增强财务披露、企业欺诈问责、企业责任、委员会资源和权力、企业纳税申报、白领犯罪刑罚加重、企业和刑事欺诈问责以及研究和报告 | 美国上市公司和公共会计事务所 |
| 支付卡行业数据安全标准（PCI DSS） | 维护信息安全政策、确保应用程序和系统的安全运营和维护、限制对持卡人数据的物理访问、确保计算机访问 ID 的唯一性、跟踪和监控网络资源及持卡人数据访问、定期测试信息安全工具、控制和流程、在未加密的公共网络上加密持卡人数据、操作和维护防火墙、基于需要知道的原则限制对持卡人数据的访问、保护静止状态下的持卡人数据、更改安全参数和系统密码默认值以提高安全性、使用和维护防病毒软件 | 信用卡公司、零售商以及任何处理支付卡信息的实体 |
| 《格拉姆 - 利奇 - 比利雷法案》（GLB），1999 年 | 金融隐私规则、保障规则和借口探查条款 | 证券公司、保险公司、银行、经纪人、贷款机构和其他金融机构