13、信息安全合规与资产保护全解析

信息安全合规与资产保护全解析

1. 合规要求的复杂性

过去十年间，信息安全监管环境日益复杂。组织可能需遵守各类法律法规、监管机构规定或合同义务。以支付卡行业数据安全标准（PCI DSS）为例，它虽非法定要求，而是基于合同义务，但对信用卡信息安全至关重要。PCI DSS有12项主要要求：
1. 安装并维护防火墙配置，保护持卡人数据。
2. 不使用供应商提供的系统密码和其他安全参数默认值。
3. 保护存储的持卡人数据。
4. 对通过开放公共网络传输的持卡人数据进行加密。
5. 保护所有系统免受恶意软件侵害，并定期更新防病毒软件或程序。
6. 开发并维护安全的系统和应用程序。
7. 基于业务需要限制对持卡人数据的访问。
8. 识别并验证对系统组件的访问。
9. 限制对持卡人数据的物理访问。
10. 跟踪和监控对网络资源和持卡人数据的所有访问。
11. 定期测试安全系统和流程。
12. 制定涵盖所有人员信息安全的政策。

组织处理合规要求需精心规划，许多组织会聘请全职IT合规人员，负责跟踪监管环境、监控控制措施以确保持续合规、协助合规审计以及履行组织的合规报告义务。非商户但存储、处理或传输信用卡信息的组织也需遵守PCI DSS，如共享托管服务提供商。

组织可能面临合规审计，可由内部和外部审计师、监管机构或其代理人进行。部分法规可能要求组织聘请经批准的独立审计师验证控制措施并直接向监管机构提交报告。除正式审计外，组织还需向众多内部和外部利益相关者报告合规情况，如董事会或审计委员会可能要求定期报告合规义务和状态，PCI DSS也要求部分组织提交自我评估报告。