Als meer regelgeving en toezicht is wereldwijd geïmplementeerd, is de behoefte aan inzicht in het beleid en de procedures naleving wordt nog belangrijker . Twee kritische compliance-beleid zijn de Payment Card Industry Data Security Standard ( PCI - DSS ) en de North American Electric Reliability Corporation bescherming van kritieke infrastructuur ( NERC - CIP ) . In beide gevallen gaat IT-beveiliging en bescherming van waardevolle goederen , zij het in verschillende industrieën . PCI - DSS PCI - DSS- vereisten coalesced in 2006 als een collectieve groep van beleidsmaatregelen vereist door vijf grote internationale retail- elektronische betalingen netwerken : Visa , American Express , Discover, Mastercard en JCB ( Japan Credit Bureau ) . De 12 eisen van de PCI - DSS van toepassing op bedrijven in de financiële sector , die zaken doen met een van deze vijf grote credit card bedrijven en die ofwel proces , doorgeven of opslaan creditcardnummers ( ook bekend als " gegevens van kaarthouders " ) . De impuls voor PCI - DSS is te waarborgen tegen identiteitsdiefstal bieden . NERC CIP - De CIP normen opgelegd door NERC zijn in de plaats te helpen beschermen de Noord-Amerikaanse machtssysteem . Power- genererende nutsbedrijven en energie resellers zijn onderhevig aan deze normen . De 18 standaard ( niet alle entiteiten zijn onder elk van de standaards ) gelijk aan PCI - DSS , doordat zij bepalen hoe het netwerk is geconfigureerd en waar de kritische cyber activa worden gelokaliseerd en benaderd ( in tegenstelling tot kaarthoudergegevens . ) sancties voor niet - naleving De sancties voor het niet voldoen aan de PCI - DSS zijn simpel : als een bedrijf blijkt te zijn uit naleving , zullen zij hun zakelijke relatie te verliezen met VISA , Mastercard , enz. Voor ondernemingen waarvan de activiteiten het verwerken van financiële transacties , is hun broodwinning weggenomen . NERC instituten financiële sancties voor bedrijven gevonden om niet in overeenstemming . Boetes kunnen oplopen tot $ 1.000.000 per dag kan zijn voor die bedrijven egregiously uit op de naleving . Andere Compliance Beleid en procedures Er zijn verschillende andere normen , eisen , beleid en procedures die organisaties moeten volgen om gegevens in dit elektronische tijdperk te beschermen . Sommigen van hen zijn: - Sarbanes - Oxley ( SOX ) : . Verenigde Staten federale richtlijnen voor de verantwoording met zakelijke financiën en auditing - Statement on Auditing Standards No 70 ( SAS70 ) : Auditing normen voor accountants . Deze normen kunnen gelden voor de financiële als IT security -industrie - Health Insurance Portability en Accountability Act ( HIPAA ) : . . Verenigde Staten federale richtlijnen uiteengezet hoe medische zorgverleners en anderen medische gegevens van een patiënt moet beschermen < br > Hoe Typisch voldoen , zijn er twee delen op het passeren van een PCI - DSS -of NERC CIP - compliance audit : documentatie en technische uitvoering . Het laatste deel wordt gedaan door een organisatie de IT-afdeling met begeleiding meestal van een accountant ( " QSA's , " in de PCI - DSS wereld ) . Documentatie wordt meestal behandeld door technische schrijvers , maar deze normen zijn zo relatief nieuw , dat het moeilijk is om een schrijver die daadwerkelijk heeft ervaring met het schrijven voor dit beleid vinden . De PCI Guy , online op http://www.thepciguy.com , is een technische documentatie adviesbureau dat gespecialiseerd is in het schrijven van PCI - DSS , NERC CIP - en SOX naleving documentatie .
|