Mọi tổ chức đều muốn được bảo mật trong thời gian dài, nhưng việc tuân thủ yêu cầu họ chỉ có thể triển khai các biện pháp bảo vệ nhất định trong một thời gian ngắn. Trước tình huống này, một số tổ chức lựa chọn tập trung vào việc tuân thủ ngay bây giờ và xem xét vấn đề bảo mật sau. Điều này liên quan đến việc chỉ định ngân sách cho việc tuân thủ trước khi phân bổ thêm ngân sách cho an ninh tại một thời điểm nào đó trong tương lai.
Cách tiếp cận này có thể tạo ra nhiều trở ngại. Các khuôn khổ và tiêu chuẩn tuân thủ luôn thay đổi. Sau đó, các tổ chức có thể cần chi thêm ngân sách để phù hợp với các phiên bản mới đó mỗi khi chúng được cập nhật.
Cách tiếp cận như vậy không phù hợp với lợi ích của CISO và các nhà lãnh đạo bảo mật khác. Tiết kiệm chi phí là một động lực quan trọng ở đây. Trên một lưu ý liên quan, họ muốn giữ mọi thứ đơn giản nhất có thể. Họ không muốn thiết lập cơ sở hệ thống của tổ chức họ theo bộ tiêu chuẩn và khuôn khổ khác. Đồng thời họ cũng không muốn phải mua một công cụ tuân thủ cho các hệ thống Windows và một công cụ khác cho các máy Linux. Các tổ chức đều muốn tiết kiệm thời gian đó và thực hiện một lần cho toàn bộ hệ thống để nhân viên của họ có thể tập trung vào những việc quan trọng hơn như ứng phó với các sự cố có thể xảy ra.
Sự thật là chúng ta có thể thực hiện theo cách này. Các tổ chức có thể tránh được việc luôn chậm một bước so với các nghĩa vụ tuân thủ ngày càng phát triển và dành nhiều sự quan tâm hơn đến các nhu cầu bảo mật của họ. Bằng cách tiếp cận cả nghĩa vụ bảo mật và tuân thủ thông qua lăng kính bảo mật, các tổ chức có thể tiết kiệm cả thời gian và tiền bạc. Nhưng câu hỏi đặt ra là chúng ta cần làm thế nào?
Để tìm hiểu, Tripwire đã liên hệ với nhiều chuyên gia có hiểu biết sâu sắc về việc quản lý các chương trình tuân thủ và bảo mật. Họ đề xuất cách sử dụng bảo mật để hợp lý hóa các nỗ lực tuân thủ và bảo mật của họ thông qua sách trắng. Đồng thời nó đưa ra cách mà các nhà cung cấp giải pháp tuân thủ và bảo mật đáng tin cậy như Tripwire có thể giúp mọi việc trở nên dễ dàng hơn cho các tổ chức trong tương lai.
Tuân thủ, bảo mật và sự khác biệt
Theo Gartner, tuân thủ là “quá trình tuân thủ các chính sách và quyết định”. Các tổ chức có thể tạo các chính sách đó bằng cách sử dụng các nguồn nội bộ như chỉ thị và thủ tục hoặc bằng cách rút ra từ các luật và quy định bên ngoài. Như vậy, tuân thủ không giống nhau. Các cơ quan chỉ định sẽ cập nhật các tiêu chuẩn của họ định kỳ; những thay đổi về các giải pháp và chính sách củng cố. Tuân thủ chỉ đơn giản là một trạng thái tại một thời điểm nhất định.
Trong khi đó, Gartner coi bảo mật là “sự kết hợp của con người, chính sách, quy trình và công nghệ được doanh nghiệp sử dụng để bảo vệ tài sản vật chất và không gian mạng của mình”. Các nhà lãnh đạo doanh nghiệp xác định mức độ bảo mật tối ưu cho tổ chức của họ. Sau đó, các nhóm kỹ thuật sẽ triển khai các biện pháp kiểm soát để hỗ trợ các yêu cầu đó. Stuart Coulson, một nhà quản lý tham gia kinh doanh, chỉ ra: “Cốt lõi của bảo mật là các chủ đề về Tính bảo mật, Tính toàn vẹn và Tính sẵn sàng. “Việc triển khai bảo mật thuộc về một nhóm kỹ thuật trong tổ chức, những người đưa ra các biện pháp kiểm soát thích hợp để giảm thiểu rủi ro nếu một hoặc nhiều chủ đề đó bị xâm phạm. Từ khóa ở đây là ‘thích hợp’.”
Tuân thủ và bảo mật không giống nhau. Vấn đề về bảo mật bắt nguồn từ sự năng động của công nghệ. Điều này dẫn đến một quá trình đánh giá rủi ro liên tục.
“Bảo mật liên quan đến việc xử lý các cảnh báo một cách nhất quán và khi chúng xuất hiện, đảm bảo rằng mọi rủi ro xảy ra với các hoạt động kinh doanh thông thường đều được xử lý ngay lập tức thay vì chỉ được phát hiện trong quá trình quét hàng năm,” Dean Ferrando, kỹ sư quản lý hệ thống EMEA. Ngược lại, tuân thủ tồn tại trong các từ của quy tắc. Và phải mất một thời gian để phát triển các hướng dẫn hoặc thông số kỹ thuật đó.
Angus Macrae, người đứng đầu bộ phận an ninh mạng, đồng ý với đánh giá này. Ông giải thích: “Tuân thủ là một bài tập cứng nhắc, có kỷ luật, đúng thời điểm mà về bản chất, nó đòi hỏi một thời gian dài để làm cho nó đáng giá. Phải mất thời gian, công sức và tiền bạc để các cơ quan xác định tạo ra, tham khảo ý kiến và đồng ý với các tiêu chuẩn, xuất bản hướng dẫn đi kèm và thực hiện tất cả các quy trình công nhận cần thiết đi kèm với chúng. Tương tự như vậy, các tổ chức đăng ký phải mất thời gian, công sức và tiền bạc để được công nhận với các tiêu chuẩn đó và họ muốn biết rằng tất cả chi phí và nỗ lực đó sẽ không đơn giản là vô hiệu chỉ sau vài tháng.”
Các tiêu chuẩn thay đổi và những tiêu chuẩn mới luôn xuất hiện. Vào thời điểm một tổ chức đạt được sự tuân thủ với một phiên bản cụ thể của một bộ tiêu chuẩn, họ có thể cần phải bắt đầu lại để tuân thủ mọi thay đổi có hiệu lực trong thời gian chờ đợi. Thừa nhận khả năng này, các tổ chức cuối cùng có thể đánh mất chính mình trong quá trình công nhận. Họ có thể luôn chậm một bước trong hành trình tuân thủ của mình. Tệ nhất, họ có thể phát triển một bức tranh sai lệch về các rủi ro kỹ thuật số mà doanh nghiệp phải đối mặt, khiến họ dễ bị tấn công.
Gary Hibberd, Giáo sư Communicating Cyber tại Tập đoàn Cyberfort, lưu ý: “Việc tuân thủ giới hạn cách tiếp cận của bạn đối với bảo mật trong giới hạn hẹp của tiêu chuẩn mà bạn đang sử dụng. “Giống như nhìn qua ‘lăng kính màu hồng’, mọi thứ sẽ ổn vì đó là thấu kính bạn đang sử dụng. Nhưng trên thực tế, cách tiếp cận của bạn có thể là một chiều và bỏ sót các khía cạnh quan trọng của an ninh mạng. Kết quả là bạn có thể tuân thủ nhưng không nhất thiết phải an toàn.”
Những thách thức chính trong việc đạt được bảo mật và tuân thủ
Ngân sách
Các tổ chức có thể gặp sự cố khi họ không cân bằng ngân sách cho việc tuân thủ và bảo mật. Mặc dù phần lớn các dự án tuân thủ đều nhận được ngân sách, nhưng vấn đề bảo mật vẫn là vấn đề được cân nhắc sau. Ngược lại, tuân thủ có xu hướng nhận được nhiều phần ngân sách hơn mặc dù việc không tuân thủ sẽ dẫn đến một khoản tiền phạt nhỏ hơn nhiều so với việc mất doanh thu và/hoặc danh tiếng do vi phạm.
Có một sự thật thú vị với việc tuân thủ. Một mặt, nó thường quá chung chung ở chỗ nó buộc các tổ chức có nhiều cách kinh doanh khác nhau phải áp dụng các tiêu chuẩn phù hợp với mẫu số chung thấp nhất trong các tình huống. Mặt khác, nó quá cụ thể ở chỗ nó chỉ áp dụng cho một số môi trường nhất định, một số nội dung nhất định và/hoặc một số loại dữ liệu nhất định. Chính đặc điểm này ngăn cản các tổ chức sử dụng các nghĩa vụ tuân thủ khác nhau để đạt được bảo mật, do đó khiến việc lập ngân sách trở nên khó khăn hơn.
“Một số tiêu chuẩn tuân thủ cũng không tích hợp với nhau, vì vậy có thể tuân thủ hoàn toàn một tiêu chuẩn (ví dụ: Cyber Essentials) nhưng vẫn không tuân thủ các quy định và tiêu chuẩn khác (ISO2700x),” Stuart Coulson cho biết. “Khả năng tương tự là bạn có thể cố gắng đáp ứng nhiều yêu cầu tuân thủ, chỉ để nhận ra rằng bạn đã nhân đôi nỗ lực của mình và sử dụng nguồn lực nội bộ của mình một cách không cần thiết để đưa ra bằng chứng. Vì vậy, điểm đầu tiên của tôi là việc tuân thủ không được phối hợp. Thật khó để đảm bảo rằng bạn hoàn toàn tuân thủ.”
Kiểm toán
Giống như các khuôn khổ tuân thủ có thể không tính đến các mô hình kinh doanh khác nhau, kiểm toán viên cũng có thể bỏ qua điều gì là quan trọng đối với một số tổ chức.
Christian Toon, một CISO, trích dẫn một ví dụ: “Tôi có một cuộc tranh luận dài với các kiểm toán viên về việc ‘thực thi quy định rõ ràng’. “Sẽ mất rất nhiều thời gian để các công ty nói tạm biệt với việc sử dụng giấy tờ. Ngay cả với các biện pháp kiểm soát kỹ thuật, hành chính và vật lý quan trọng, việc ‘dọn bàn’ không nằm trong chương trình nghị sự của chúng tôi và điều đó đã được ghi chép đầy đủ với sự chấp thuận của khách hàng và doanh nghiệp phù hợp. Tuy nhiên, vẫn có những kiểm toán viên theo đuổi việc tuân thủ đầy đủ điều này.”
Điều đó giả định rằng các tổ chức hiểu rõ những gì họ cần làm để vượt qua cuộc kiểm tra ngay từ đầu, vì không phải lúc nào các tiêu chuẩn là bắt buộc hay được khuyến nghị cũng không rõ ràng. Một số khuôn khổ bao gồm các câu sử dụng “phải” và “sẽ” để nhấn mạnh sự cần thiết của các tổ chức để thực hiện các biện pháp kiểm soát nhất định. Những người khác thiếu đoạn văn đó và đọc giống như các tài liệu quản trị bảo mật hữu ích chứa đầy các khuyến nghị, trong khi những người khác vẫn chỉ đề cập rõ ràng đến một số biện pháp là có thật và được thi hành. Loại thứ hai gây hiểu lầm nhiều nhất, vì chúng buộc các tổ chức phải giải thích các biện pháp nào là bắt buộc và biện pháp nào là tùy chọn. Sau đó, các tổ chức có thể lãng phí thời gian và tiền bạc để hướng tới trạng thái tuân thủ được cho là không thực sự phù hợp với mục đích của một khuôn khổ cụ thể.
Quản lý rủi ro
Các tổ chức quan tâm đến câu hỏi sau: “Có thể chấp nhận được bao nhiêu rủi ro?” Vấn đề là việc tuân thủ không nhất thiết liên quan đến quản lý rủi ro mạnh mẽ. Đây là Sarah Clarke, một chuyên gia về quản trị bảo mật, rủi ro và tuân thủ, chia sẻ thêm về thách thức này.
Bà nói: “Các nỗ lực tuân thủ thường chỉ nhằm mục đích đảm bảo bảo hiểm mạng hoặc giao dịch với các khách hàng trong ngành được quản lý thay vì tìm hiểu rủi ro. “Sự mất kết nối giữa đường dây tuân thủ và đánh giá rủi ro và mối đe dọa mạnh mẽ có thể dẫn đến mức chi tiêu sai lệch đáng kể. Không chỉ vậy, việc tiếp tục non nớt trong quản trị rủi ro còn ảnh hưởng đến hầu hết các doanh nghiệp. (Vẫn cực kỳ khó để vạch ra một ranh giới hữu ích giữa một biện pháp được thực hiện và một chuyển động trong vị trí rủi ro được đánh giá.) Nói tóm lại, việc tuân thủ là sự thoải mái nhất thời, trong khi quản lý rủi ro mạnh mẽ là sự khó chịu dai dẳng (nhưng được cung cấp thông tin tốt hơn).
Tất nhiên, quản lý rủi ro không chỉ mở rộng cho các hệ thống của riêng một người. Trong thời đại xảy ra các sự cố như SolarWinds và ProxyLogon, các tổ chức cũng cần quan tâm đến việc đánh giá rủi ro của các nhà cung cấp bên thứ ba. Tuy nhiên, nhiều khung tuân thủ không yêu cầu chức năng này. Việc giám sát như vậy tạo ra cảm giác bảo vệ sai lầm—ngay cả trong những tình huống mà các tổ chức đã triển khai tất cả các biện pháp kiểm soát cần thiết.
Tuân thủ hộp kiểm
Nhiều tổ chức thực hành cái được gọi là “tuân thủ hộp kiểm”. Đây là nơi họ triển khai những gì cần thiết trong khuôn khổ tuân thủ không phải vì họ thấy bất kỳ giá trị nào trong đó mà vì họ được bắt buộc phải làm như vậy để giao dịch với các tổ chức khác. Họ đánh dấu vào các chính sách bắt buộc và sử dụng các nỗ lực tuân thủ đó để tuyên bố rằng họ an toàn và được bảo vệ trước nhiều mối đe dọa.
Đây là vấn đề vì một vài lý do. Đầu tiên, không có khuôn khổ tuân thủ nào là toàn diện—hoặc đại diện chính xác cho những gì các tổ chức đang triển khai trên toàn bộ mạng của họ, cho vấn đề đó. Đó là bởi vì công nghệ và bối cảnh các mối đe dọa kỹ thuật số luôn thay đổi. Caryll Arcales, một chuyên gia bảo mật toàn cầu, đồng ý: “Do những thay đổi trong công nghệ, một hạn chế của việc tuân thủ là nó không phù hợp hoặc tụt hậu so với các xu hướng mới nhất về an ninh mạng”.
Thứ hai, việc tuân thủ hộp kiểm sẽ gửi một loại thông báo cụ thể. Về cơ bản, các tổ chức nói với các nhà quản lý rằng họ hiểu tầm quan trọng của bảo mật nhưng không muốn ưu tiên nó. Vì vậy, họ sẽ chỉ thực hiện một số biện pháp nhất định và không làm gì khác. Điều này hạn chế khả năng của các tổ chức trong việc giải thích những gì họ đã triển khai và lý do cho các cơ quan quản lý và/hoặc khách hàng trong trường hợp vi phạm.
Cách các tổ chức vượt qua thách thức
Đầu tiên và quan trọng nhất, các tổ chức cần nhận ra các giới hạn của việc tuân thủ. Họ cần xem các tiêu chuẩn tuân thủ là mẫu số chung thấp nhất—hữu ích nhưng không toàn diện.
Dean Ferrando thừa nhận: “Việc tuân thủ cố gắng giúp xem xét các lĩnh vực có thể gây lo ngại. “Điều này ổn đối với tổ chức chung, nhưng còn các thiết bị đặt riêng, hạn chế kết nối đa vùng địa lý, công cụ dịch thuật và các lĩnh vực khác dành riêng cho tổ chức mà khuôn khổ tuân thủ không xem xét thì sao? Nó chỉ không tính đến tất cả các trường hợp sử dụng có thể.”
Với sự hiểu biết này, các tổ chức có thể có chiến lược hơn với các nỗ lực tuân thủ của họ. Stuart Coulson nói theo một cách khác. Ông cảnh báo: “Đừng tuân thủ chỉ vì mục đích tuân thủ. “Thay vào đó, hãy đảm bảo bạn làm việc để đạt được kết quả có ý nghĩa và tìm kiếm sự cải thiện. Tuân thủ phải trả giá, vì vậy hãy chắc chắn rằng bạn nhấn mạnh lợi tức đầu tư.”
Khi được thực hiện theo cách này, việc tuân thủ có thể gia tăng giá trị cho doanh nghiệp. Điều này cũng đúng với bảo mật. Điều này mang đến cho các tổ chức cơ hội để họ có thể theo đuổi cả việc tuân thủ và bảo mật cùng một lúc, không phải theo một trong hai/hoặc cả hai.
Angus Macrae lưu ý: “Mặc dù chắc chắn có những khoảng cách và sự khác biệt trong suy nghĩ, nhưng điều này không làm cho hai điều không tương thích với nhau. “Điều đó chỉ có nghĩa là đôi khi, bạn phải xem bảo mật và tuân thủ là những hành trình hơi khác nhau để đến một đích đến giống nhau. Tuân thủ là một cách tốt để các bên khác nhau chứng minh với nhau rằng họ có cam kết đáp ứng một số điều không thể thương lượng nhất định với mức độ nghiêm ngặt tương tự nếu không muốn nói là tương đương. Điều này sau đó có thể tạo thành những trụ cột đầu tiên của niềm tin đáng tin cậy.”
Các tổ chức có thể tạo ra những trụ cột đáng tin cậy đó bằng cách sử dụng Kiểm soát CIS để thúc đẩy cả nỗ lực tuân thủ và bảo mật của họ.
Các biện pháp kiểm soát CIS là duy nhất ở chỗ chúng ánh xạ vào một số khuôn khổ tuân thủ khác nhau và đồng thời đóng vai trò là nguyên tắc bảo mật. Do đó, các tổ chức có thể sử dụng các tiêu chuẩn đó để thực hiện nhiệm vụ kép. Kiểm soát CIS chỉ đại diện cho một cách mà các tổ chức có thể tiếp cận việc tuân thủ trong giới hạn của một chương trình bảo mật nội bộ mạnh mẽ.
Christian Toon giải thích: “Phân tích tác động kinh doanh kỹ lưỡng và đánh giá rủi ro với nhóm bảo mật và các nhóm cấp cao của bạn sẽ xác định bối cảnh mối đe dọa của bạn và thực hiện một số cách để xác định các yêu cầu kiểm soát của bạn. “Khi làm như vậy, bạn tạo ra khung kiểm soát của riêng mình. Đây là những gì làm cho sự khác biệt. Nó có liên quan đến tổ chức, vì vậy đây là những gì nhóm của bạn nhận được. Câu chuyện của bạn thay đổi từ ‘Chúng tôi cần làm điều này vì các tiêu chuẩn hoặc yêu cầu pháp lý’ thành ‘Chúng tôi làm điều này vì chúng tôi vì đây là những gì chúng tôi mong đợi và chúng tôi là ai.’ Điều này tạo ra phản ứng bản năng hơn, ý thức về mục đích mà tất cả mọi người sẽ mua vào. Việc mua vào đó sẽ không xảy ra trừ khi các nhóm bảo mật đặt nền móng. Trong những tình huống đó, những điều cơ bản về bảo mật có thể đặc biệt hữu ích.
Đối với Sarah Clarke, không có biện pháp kiểm soát cơ bản nào hữu ích hơn việc tạo bản kiểm kê tài sản. “Trọng tâm đầu tiên của tôi là giải mã các tài sản và hệ thống có rủi ro thấp,” cô chỉ ra. “Một quy trình có thể bảo vệ được và được ghi lại để thực hiện điều đó là ưu tiên hàng đầu của bạn. Trí thông minh sau đó cho phép lập kế hoạch và ước tính ngân sách cho những nỗ lực tiếp theo.”
Mua vào cũng sẽ ở mức tối thiểu nếu không có sự giao tiếp. Đó là lý do tại sao các tổ chức cần tập hợp các nhóm tuân thủ và bảo mật lại với nhau. Caryll Arcales thúc giục: “Các nhóm cần cộng tác với nhau để đảm bảo an ninh mạng phù hợp với việc tuân thủ. “Điều này nên được hỗ trợ bởi quản lý. Quản lý tốt có thể đóng góp bằng cách đảm bảo rằng có sự giao tiếp hiệu quả giữa hai miền (hoặc nhóm).” Họ có thể hỗ trợ thêm bằng cách tạo ra các quy trình thúc đẩy sự hợp tác giữa bảo mật và tuân thủ trong doanh nghiệp.
Gary Hibberd khuyến nghị phát triển khung Quản trị, Rủi ro và Tuân thủ (GRC) cho mục đích này. Ông giải thích: “Khung GRC hoạt động tốt nhất khi nó tập hợp nhiều người từ khắp tổ chức lại với nhau để tập trung vào vấn đề bảo mật. “Nhóm đa chức năng này sẽ tập hợp kiến thức, kỹ năng và kinh nghiệm đa dạng về các rủi ro tuân thủ và các vấn đề liên quan đến lĩnh vực cụ thể của họ để cùng nhau xem xét. Viễn cảnh mới về bảo mật mà điều này mang lại sẽ đảm bảo mọi lỗ hổng sẽ nhanh chóng được xác định.”
Kết luận
Tuân thủ và bảo mật không giống nhau. Nhưng như đã lưu ý ở trên, chúng không loại trừ lẫn nhau. Các tổ chức có thể sử dụng các biện pháp kiểm soát bảo mật mạnh mẽ để hoàn thành các mục tiêu tuân thủ của mình. Họ có thể tự mình làm điều này, nhưng họ có thể gặp phải những thách thức trên đường đi.
Dưới đây là một số đề xuất bổ sung mà họ có thể sử dụng để cải thiện:
Đặt vấn đề bảo mật và tuân thủ vào chương trình nghị sự của Hội đồng quản trị để đảm bảo rằng các dự báo ngân sách có thể dự đoán được thay vì phải tìm ngân sách khẩn cấp do vi phạm hoặc không kiểm tra được.
Quyết định cơ sở hạ tầng cốt lõi của bạn là gì và lập kế hoạch để đảm bảo rằng những tài sản đó được bảo hiểm ở mức tối thiểu tuyệt đối. Trao đổi với các thành viên khác trong chuỗi cung ứng của bạn để đảm bảo rằng họ đang thực hiện nghiêm túc vấn đề an ninh mạng để giảm thiểu rủi ro cho bạn.
Vạch ra từng tiêu chuẩn tuân thủ mà tổ chức của bạn phải tuân thủ và kiểm tra sự chồng chéo để có thể giải quyết nhiều chính sách cùng một lúc. (Đây là nơi Kiểm soát CIS có thể trợ giúp.)
Theo kịp các thay đổi đối với các tiêu chuẩn tuân thủ và đảm bảo bạn có sẵn ngân sách, tài nguyên, công nghệ và quy trình để áp dụng các thay đổi một cách nhanh chóng.
Đảm bảo rằng có một chính sách liên lạc rõ ràng để đảm bảo rằng các nhóm tuân thủ và bảo mật trong tổ chức của bạn được liên kết với nhau, đồng thời cũng có một quy trình leo thang để thảo luận về các rủi ro tiềm ẩn với C-suite.
Tuy nhiên, họ không phải làm tất cả những việc này một mình. Họ có thể tranh thủ sự giúp đỡ của một nhà cung cấp như Tripwire. Các giải pháp của Tripwire sử dụng tính năng giám sát tính toàn vẹn của tệp (FIM), quản lý lỗ hổng (VM), quản lý cấu hình bảo mật (SCM), quản lý nhật ký (LM) và các phương pháp hay nhất khác để giúp các tổ chức giữ an toàn cho hệ thống của họ cả tại chỗ và trên đám mây. Đồng thời, chúng có thể giúp tự động hóa nỗ lực tuân thủ của khách hàng với GDPR, SOX, PCI DSS và nhiều khuôn khổ khác.
Tổng quan về các tiêu chuẩn tuân thủ và bảo mật có liên quan
GDPR của Vương quốc Anh: Luật này có hiệu lực từ ngày 1 tháng 1 năm 2021. Luật này dựa trên Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (EU GDPR), có hiệu lực vài năm trước đó, mặc dù luật này phản ánh một số thay đổi nhất định để GDPR của EU hoạt động ở Vương quốc Anh định nghĩa bài văn.
DPA 2018: Đạo luật bảo vệ dữ liệu (DPA) 2018 phác thảo một khuôn khổ để bảo vệ dữ liệu ở Vương quốc Anh. Nó thay thế Đạo luật bảo vệ dữ liệu năm 1998, đồng thời nó cũng phù hợp và bổ sung cho GDPR của Vương quốc Anh.
Cyber Essentials: Được thúc đẩy bởi Trung tâm An ninh mạng Quốc gia (NCSC), đây là một chương trình chứng nhận mà các tổ chức của Vương quốc Anh có thể sử dụng để bảo vệ tính bảo mật, tính toàn vẹn và tính khả dụng của thông tin trước các mối đe dọa kỹ thuật số.
GDPR: Viết tắt của Quy định bảo vệ dữ liệu chung, GDPR là luật của Liên minh châu Âu tạo ra một chế độ bảo vệ dữ liệu duy nhất trên 28 quốc gia thành viên EU.
PCI DSS: Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI) bao gồm 12 yêu cầu cấp cao để bảo vệ thông tin trong môi trường dữ liệu chủ thẻ của tổ chức (CDE). Mỗi yêu cầu cấp cao bao gồm các yêu cầu cấp thấp và mỗi yêu cầu trong số đó thúc đẩy một hoặc nhiều quy trình thử nghiệm.
HIPAA: Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế, HIPAA là một quy định phác thảo các điều khoản về quyền riêng tư và bảo mật dữ liệu mà các tổ chức phải tuân thủ để bảo vệ thông tin chăm sóc sức khỏe.
Kiểm soát CIS: Được phát triển bởi Trung tâm Bảo mật Internet, các Kiểm soát Bảo mật Quan trọng này bao gồm 18 biện pháp bảo mật cấp cao nhất cùng với các Biện pháp bảo vệ hỗ trợ mà các tổ chức có thể sử dụng để tự bảo vệ mình trước một số cuộc tấn công phổ biến nhất trong bối cảnh các mối đe dọa hiện nay.
ISO 27001: Tiêu chuẩn này sử dụng cách tiếp cận từ trên xuống, dựa trên rủi ro đối với các hệ thống quản lý bảo mật thông tin. Nó không dành riêng cho công nghệ. Nhưng nó đi sâu vào các chi tiết cụ thể của các kỹ thuật bảo mật như quản lý mật khẩu.
SWIFT: Viết tắt của Hiệp hội viễn thông tài chính liên ngân hàng toàn cầu, SWIFT là một hệ thống nhắn tin hỗ trợ việc trao đổi thông tin như hướng dẫn chuyển tiền giữa các ngân hàng và các tổ chức tài chính khác.
BSI IT-Grundschutz: Được phát triển bởi Bundesamt für Sicherheit (BSI) của Đức, IT-Grundschutz cung cấp cho các tổ chức phương pháp tiếp cận có hệ thống đối với ISO 27001. Nó cung cấp thông tin phù hợp với bất kỳ ai từ CISO tại các doanh nghiệp lớn đến nhân viên an ninh làm việc tại các doanh nghiệp vừa và nhỏ. doanh nghiệp (SMB).
IEC 62443: Ban đầu được tạo cho các tổ chức có quy trình công nghiệp, IEC 62443 là tiêu chuẩn mà qua đó các tổ chức có thể áp dụng phương pháp tiếp cận dựa trên rủi ro để bảo vệ hệ thống điều khiển và tự động hóa công nghiệp (IACS) của họ.
Basel III: Ủy ban Basel về Giám sát Ngân hàng đã tạo ra Basel III sau cuộc khủng hoảng tài chính 2007-09. Bộ các biện pháp được thiết kế để giúp các ngân hàng tăng cường các nỗ lực quản lý rủi ro, giám sát và điều tiết.
SOX: Viết tắt của Đạo luật Sarbanes-Oxley, SOX có ý nghĩa bảo mật cho các công ty. Cụ thể, Mục 302, 404 và 409 đề cập đến kiểm soát nội bộ, quản trị và tiết lộ cho các chương trình bảo mật thông tin của tổ chức.
NCA: NCA đề cập đến Cơ quan an ninh mạng quốc gia hoặc cơ quan chính phủ phụ trách an ninh mạng ở Ả Rập Saudi. Thực thể đã tạo ra các Biện pháp kiểm soát an ninh mạng thiết yếu (ECC) để cung cấp cho các tổ chức quốc gia các yêu cầu bảo mật tối thiểu.
CSCC: NCA đã phát triển Kiểm soát An ninh mạng Hệ thống Trọng yếu (CSCC) như một phần mở rộng và bổ sung cho ECC. CSCC bao gồm 32 biện pháp kiểm soát chính và 73 biện pháp kiểm soát phụ nhằm giải quyết vấn đề quản trị và phòng thủ an ninh mạng, trong số các lĩnh vực khác.
CCC: Hoạt động như một phần mở rộng và bổ sung khác cho ECC, Kiểm soát an ninh mạng trên đám mây (CCC) bao gồm 37 kiểm soát chính và 96 kiểm soát phụ áp dụng cho Nhà cung cấp dịch vụ đám mây (CSP) cùng với 18 kiểm soát chính và 26 kiểm soát phụ áp dụng cho liên quan đến Đối tượng thuê dịch vụ đám mây (CST).
NCPF: Được gọi là Khung chính sách an ninh mạng quốc gia, NCPF đưa ra các nguyên tắc chính sách mà theo đó chính phủ Nam Phi có thể thực hiện một cách tiếp cận nhất quán đối với an ninh mạng. Nó cũng tìm cách giải quyết vấn đề thiếu nhận thức về an ninh mạng ở Cộng hòa.
Luật 05.20: Được thông qua vào tháng 7 năm 2020, Luật 05.20 đề cập đến một tập hợp các mục tiêu và điều khoản do Vương quốc Maroc ban hành nhằm mục đích tăng cường an ninh cho các hệ thống thông tin cơ sở hạ tầng quan trọng và thuộc sở hữu của Nhà nước.
NIA: Chính sách Đảm bảo thông tin quốc gia (NIA) chỉ định phân loại thông tin cấp cao cũng như tập trung vào thông tin hệ thống và tính toàn vẹn cho các thực thể ở Nhà nước Qatar. Các tổ chức có thể sử dụng NIA để bảo vệ tài sản của họ và chống lại rủi ro.
NIAF của UAE: Khung đảm bảo thông tin quốc gia (NIAF) đặt ra các tiêu chuẩn mà theo đó các tổ chức ở Các Tiểu vương quốc Ả Rập Thống nhất (UAE) phải bảo vệ thông tin chính, trao đổi thông tin với các tác nhân bên ngoài và tham gia vào các hoạt động bắt buộc khác.
TISAX: Được gọi là Sàn giao dịch đánh giá bảo mật thông tin đáng tin cậy, TISAX yêu cầu tất cả các tổ chức liên quan đến chuỗi cung ứng ô tô của Đức phải đệ trình kiểm toán theo các tiêu chuẩn do Verband Deutscher Automobilindustire (VDA) phát triển.
ADHICS: Do Bộ Y tế Abu Dhabi ban hành vào tháng 2 năm 2019, Tiêu chuẩn An ninh mạng và Thông tin Y tế Abu Dhabi yêu cầu các tổ chức đáp ứng các tiêu chuẩn về quản lý tài sản, kiểm soát truy cập và các chức năng an ninh mạng khác.