日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
如果你疲于管理多個(gè)合規(guī)標(biāo)準(zhǔn) 可試試CCF

對(duì)于疲于管理多個(gè)合規(guī)標(biāo)準(zhǔn)并試圖構(gòu)建自己的合規(guī)框架的企業(yè)而言,Adobe的Common Controls Framework是一個(gè)很好的方式。

企業(yè)面臨的最棘手的合規(guī)挑戰(zhàn)之一是如何構(gòu)建一個(gè)程序來(lái)有效管理所有合規(guī)控制以及要求,而沒(méi)有重疊。Adobe公司最近發(fā)布了一份白皮書(shū),其中介紹了其Common Controls Frameworks(CCF)以及它如何幫助滿足重要標(biāo)準(zhǔn)。雖然該白皮書(shū)沒(méi)有詳細(xì)細(xì)節(jié),但其中該公司從自身的角度強(qiáng)調(diào)了多標(biāo)準(zhǔn)合規(guī)性的重要性,畢竟這家軟件制造商必須遵守各種標(biāo)準(zhǔn)。

該CCF白皮書(shū)沒(méi)有提供足夠的詳細(xì)信息來(lái)影響其他企業(yè)使用的安全程序的具體方面,但它提供了很好的概念方法來(lái)在重疊的監(jiān)管要求中開(kāi)展工作。

合理化安全要求

CCF最重要的功能是執(zhí)行合理化進(jìn)程。在這種方法中,合規(guī)專家和安全專家列出了各種法規(guī)的詳細(xì)信息,并確定了兩個(gè)或更多法規(guī)所要求的共同的控制,這幫助減少了重疊法規(guī)帶來(lái)給管理合規(guī)程序帶來(lái)的復(fù)雜性。例如,聯(lián)邦政府發(fā)布了聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(FedRAMP),這是對(duì)試圖向聯(lián)邦機(jī)構(gòu)提供云服務(wù)的供應(yīng)商提出的合規(guī)性要求,F(xiàn)edRAMP中的RA-5要求規(guī)定對(duì)計(jì)算系統(tǒng)每年進(jìn)行獨(dú)立的漏洞掃描。

與此同時(shí),支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)主要針對(duì)處理信用卡信息的商家和服務(wù)提供商,其中PCI DSS 11.2要求規(guī)定每季度對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行掃描,需由授權(quán)掃描供應(yīng)商執(zhí)行。

如果企業(yè)試圖合理化FedRAMP和PCI DSS要求,企業(yè)可能會(huì)創(chuàng)建單個(gè)控制來(lái)覆蓋這兩個(gè)要求。在這個(gè)例子中,企業(yè)的合規(guī)框架可能只要包含對(duì)由PCI DSS授權(quán)掃描供應(yīng)商執(zhí)行的季度漏洞掃描,因?yàn)檫@個(gè)合理化控制就已經(jīng)同時(shí)滿足FedRAMP RA-5和PCI DSS 11.2的要求。企業(yè)只需要繼續(xù)滿足其自己的控制標(biāo)準(zhǔn),便可確保其符合這兩個(gè)要求。

Adobe的CCF對(duì)Adobe相關(guān)的10個(gè)重要的安全要求進(jìn)行了合理化,這些包括PCI DSS、FedRAMP、Sarbanes-Oxley法案、ISO 27001等。Adobe的合理化過(guò)程將1000個(gè)詳細(xì)的要求分成200個(gè)合理化要求。

分階段進(jìn)行合規(guī)合理化

在其白皮書(shū)中,Adobe將CCF稱為正在進(jìn)展中的工作,其部署路線圖跨越四年時(shí)間。該公司的白皮書(shū)中概述了2016年年底前在多個(gè)Adobe產(chǎn)品部署CCF的分階段方法。

當(dāng)企業(yè)構(gòu)建自己的合規(guī)程序時(shí),可使用這種分階段的方法作為合規(guī)合理方法的參考。據(jù)推測(cè),Adobe公司在該計(jì)劃的初始階段執(zhí)行了風(fēng)險(xiǎn)評(píng)估,并以***風(fēng)險(xiǎn)和***努力領(lǐng)域?yàn)槟繕?biāo)。這種方法會(huì)先瞄準(zhǔn)唾手可得的目標(biāo),給企業(yè)提供直接利益。不過(guò),企業(yè)可能會(huì)選擇根據(jù)當(dāng)前的控制狀態(tài)、審核的可能性、安全風(fēng)險(xiǎn)、執(zhí)法處罰和其他標(biāo)準(zhǔn)來(lái)優(yōu)先排序合規(guī)活動(dòng)。

構(gòu)建你自己的合規(guī)計(jì)劃

然而,Adobe公司并沒(méi)有公布其CCF的細(xì)節(jié)。因此,企業(yè)不能簡(jiǎn)單地將CCF作為其自己的合規(guī)計(jì)劃的框架,這給企業(yè)帶來(lái)兩個(gè)選擇:創(chuàng)建新的合規(guī)框架或者在現(xiàn)有的系統(tǒng)構(gòu)建。

構(gòu)建新的計(jì)劃是一個(gè)耗時(shí)的過(guò)程,并且,只有當(dāng)你的企業(yè)具有高度專業(yè)化合規(guī)要求,且現(xiàn)有框架無(wú)法滿足這些要求時(shí)才會(huì)有價(jià)值。大多數(shù)試圖合理化合規(guī)性的企業(yè)可從現(xiàn)有的框架開(kāi)始,這樣會(huì)更好,例如統(tǒng)一合規(guī)框架(UCF),UCF提供了對(duì)來(lái)自800多個(gè)法律和法規(guī)的9000多個(gè)要求的預(yù)先合理化清單。

結(jié)論

雖然公司不能直接利用Adobe的CCF作為自己的合規(guī)計(jì)劃,但它可以被用來(lái)作為企業(yè)做法的模式,從清點(diǎn)合規(guī)要求開(kāi)始,在構(gòu)建完成的清單后,通過(guò)執(zhí)行評(píng)估或在現(xiàn)有框架(例如UCF)構(gòu)建來(lái)執(zhí)行控制合理化。然后你的企業(yè)可以映射安全控制到合理化要求,以及簡(jiǎn)化合規(guī)流程。


本文標(biāo)題:如果你疲于管理多個(gè)合規(guī)標(biāo)準(zhǔn) 可試試CCF
分享URL:http://www.dlmjj.cn/article/djihopc.html