Som mer reglering och tillsyn genomförs globalt , blir behovet av en politik förståelse efterlevnad och rutiner ännu viktigare . Två kritiska efterlevnadspolicyer är Payment Card Industry Data Security Standard ( PCI - DSS ) och North American Electric Reliability Corporation skydd av kritisk infrastruktur ( NERC - CIP ) . Båda innebär IT-säkerhet och skydd av tillgångar , om än i olika branscher . PCI - DSS
PCI - DSS-kraven coalesced 2006 som en kollektiv grupp av politik som krävs av fem stora internationella detaljhandelskedjor elektroniska betalningar nätverk : VISA, American Express , Discover , Mastercard och JCB ( Japan Credit Bureau ) . De 12 kraven i PCI - DSS tillämpas på företag inom den finansiella branschen som gör affärer med en av dessa fem stora kreditkortsföretag och vem endera processen , överför eller lagrar kreditkortsnummer ( även känd som " kortdata " ) . Drivkraften för PCI - DSS är att ge skydd mot identitetsstöld . Addera NERC - CIP
CIP standarder uppdrag av NERC är på plats för att hjälpa till att skydda den nordamerikanska kraftsystemet . Power- genererande verktyg och återförsäljare makt är föremål för dessa standarder . De 18 standarder ( inte alla enheter är föremål för alla standarder ) liknar PCI - DSS , eftersom de styr hur ett nätverk skall konfigureras och där kritiska cyber tillgångar ska lokaliseras och nås ( i motsats till kortdata . )
påföljder vid överträdelser
påföljder för underlåtelse att följa PCI - DSS är enkel: om ett företag visar sig vara ur efterlevnad , kommer de att förlora sin affärsrelation med VISA, Mastercard , etc. För företag vars verksamhet är bearbetning finansiella transaktioner , är deras levebröd tas bort . NERC institut ekonomiska sanktioner för företag som befunnits vara i överensstämmelse . Böter kan kan vara så hög som $ 1 miljon per dag för de företag egregiously ut av efterlevnaden .
Andra Efterlevnad riktlinjer och rutiner
p Det finns flera andra standarder , krav, riktlinjer och rutiner som organisationer måste följa för att skydda data i elektroniska eran . Några av dem är :
- Sarbanes - Oxley ( SOX ) : . Förenta staternas federala riktlinjer för ansvarsskyldighet med företagets ekonomi och revision - Uttalande om revisionssed nr 70 ( SAS70 ) : revisionsstandarder för revisorer . Dessa standarder kan tillämpas på den ekonomiska såväl som IT-säkerhet industrier - Sjukförsäkring Bärbarhet och Accountability Act ( HIPAA ) : . . Amerikanska federala riktlinjer som visar hur medicinska leverantörer och andra måste skydda en patients medicinska data
Hur Comply
Vanligtvis finns det två delar till att passera ett PCI - DSS eller NERC - CIP efterlevnad revision : dokumentation och tekniskt genomförande . Den senare delen görs av en organisations IT-avdelning med vägledning vanligtvis från en revisor ( " QSAs , " i PCI - DSS värld ) . Dokumentation är oftast hanteras av tekniska skribenter , men dessa normer är så relativt nytt att det är svårt att hitta en författare som faktiskt har erfarenhet av att skriva till denna politik . Den PCI Guy , online på http://www.thepciguy.com , är en teknisk dokumentation konsultföretag som specialiserat sig på att skriva PCI - DSS , NERC - CIP och SOX efterlevnad dokumentation .
