合規：我不能理解一些安全專業人員，特別是不會每天或甚至每時處理問題的首席信息安全官（CISO）。如果公司要遵從的不是支付卡行業數據安全標準（簡稱PCI DSS），那么可能是HIPAA法案、GLB法案、薩班斯法案或是許多其它私有和安全法令之一。保護企業的數據很必要，同時也要保證企業履行合規的要求。

所以CISO如何才能正確地管理合規？CISO需要有什么樣的關鍵管理過程、優先級排序和心態，才能確保信息安全團隊能讓企業滿足合規要求？本文我想介紹可能有助于你獲得成功的四個方面。

你的口頭禪：保護數據

首先，記住作為CISO你的角色是公司信息安全的代表。不管是什么特定的合規要求，你的首要工作是保護公司的數據，并且還要保護你的員工、廠商、顧客和你的股東。

如果你查看關鍵合規指導方針——包括PCI DSS、HIPAA或是NERC要求——其核心的主題都是保護系統、數據和防止數據丟失?；旧洗蠖鄶岛弦幰蟮幕驹瓌t是維持“CIA”：即數據和系統的保密性（confidentiality）、完整性（integrity）和可用性（availability）。

了解管理合規的要求

其次，了解你必須遵從的合規要求。閱讀并研究它們，并且對照它們進行自審和評估。掌握關于這些法令的相關解釋、裁決和新聞最新動態。例如訂閱關于PCI DSS、HIPAA或NERC的新聞，或者創建Google Alert，了解關于信用卡安全，或是任何和你行業最相關的新聞。通過了解要求和保持對這些主題的行業交流，你將能夠對可能會影響公司合規狀態的決策結果更了解。

你還可以通過使用行業評估檢查列表（用于指導變更管理或者架構評審）來了解要求。確保對系統的變更——即使是那些和合規主題沒有直接關聯的——不會使數據或系統面臨潛在的危險。

安全培訓和安全意識

作為CISO，我堅信員工是公司的第一道防線。要確保員工和承包商意識到他們的行為，或者不作為可能會導致數據泄露或違規的情況。那么，你如何傳達這些信息呢？

第一步是查看業務過程，并且推斷在數據流和系統操作中因為沒履行特定的要求而導致違規的地方。使用這些信息，花時間對關鍵員工進行培訓，并且進行責任定位以保護信息安全。

例如，就PCI DSS法案來說，一個潛在的薄弱區域是在銷售點終端機處理信用卡數據。恰當的方法（并且甚至是PCI DSS要求的）是花時間向面對客戶的員工——或者至少制定一些基于計算機的培訓或員工安全意識手冊——解釋處理信用卡的正確和不正確的方式，例如不要復制信用卡號。

在這方面的其它方法還有指導開發重要Web應用的員工進行測試和數據校驗，或是培訓所有便攜式電腦用戶如何在外出旅行時安全防護他們的機器。

換句話說，要經常培訓和指導員工了解采取某些行為的原因，以及如果數據沒有得到恰當地保護會給公司名譽和員工帶來的影響。

了解根源

如果發生事故，該事故可能會讓公司的法規遵從受到質疑，所以必須花時間和精力來理解事故的根本原因。不要只是掩蓋征兆，要真正地理解發生了什么和為什么會發生。然后花時間思考補救措施，來解決問題和防止事件再次發生。確認和追蹤這些補救措施確實完成。

這個方法也將有助于你與監管人員及合規監督者溝通。通過了解你的問題和事件，你會闡明你不想讓錯誤發生和你愿意付出時間和努力來防止問題再次發生。如果到了罰款或處罰的地步，如果你一直和監管者保持坦誠，他們很可能會寬大處理。

持續的壓力

作為CISO，我經常對我的安全團隊同事說，我們最重要的工作是持續關注公司合規和數據安全。不幸的是，這可能并不容易實現，并且有時還具有挑戰性，但是你需要保持這個壓力來保持和提高你所在企業的安全狀況。

【編輯推薦】

1. 由PCI保障持卡人數據安全看國內支付安全
2. 終端安全系列談：準入控制保障“內網合規”