資安當中所謂的合規,是指遵守專為保護企業內部敏感資料和資訊系統而設計的既定框架、標準與法規的企業實務。
目錄
資安合規可確保企業遵守最佳實務原則來防範資安風險並守護資產,此外,達成合規也有助於維持客戶與利害關係人的信任。
一套結構完善的合規計畫,能強化法律與道德問責性,確保企業能建立信任,同時維持嚴格的資安控管。少了它,企業不僅將冒著遭遇網路攻擊和營運中斷的風險,更可能導致長久的商譽和財務損失。
隨著資安威脅的頻率和精密度不斷增加,確實遵守資安法規已不再是一種選項,而企業生存的必要條件。未能遵守合規要求,可能帶來的嚴重後果包括:
法律與財務懲處:企業若被認定違反資安相關法律或法規,可能面臨鉅額罰款、訴訟,甚至被吊銷營業執照。
商譽損失:企業若因不合規而導致資料外洩,將侵蝕消費者的信任,導致客戶對企業失去信心。
營運中斷:不合規也有可能留下沒有解決的資安漏洞,進而導致系統停機、營運損失,以及潛在的資料外洩。
確實遵守合規標準,可讓企業降低資安曝險、改善資安態勢,並且展現他們對資料保護的承諾。
目前已有許多資安法律與法規來規範企業該如何處理資料及保護 IT 系統。以下是一些最獲認可的合規框架:
健康保險可攜性與問責法案 (HIPAA)
HIPAA 是一套美國的法規,用來規範如何安全地處理受保護的醫療資訊 (Protected Health Information,簡稱 PHI)。醫療機構必須採取嚴格的措施來保護其病患資料,例如:資料加密、嚴格的存取控管,以及資安風險評估。
支付卡產業資料安全標準 (PCI DSS)
PCI DSS 是針對處理、儲存及傳輸信用卡資訊的企業所制訂的一套政策和程序,用來保護持卡人資料,並減少信用卡詐騙。儘管 PCI DSS 是一項標準而非法律,但不合規的企業卻有可能失去與主要支付卡廠商 (如 Visa、Mastercard 或 American Express) 的合作關係。
通用資料保護法 (GDPR)
GDPR 的重點在保護歐盟居民的資料和隱私,要求企業必須保護個人資料,並維持資料使用方式的透明。不合規的企業可能面臨高達 2,000 萬歐元或全球年營收 4% 的罰鍰 (取較高者)。
美國國家標準與技術局 (National Institute of Standards and Technology,簡稱 NIST) 資安框架 (Cybersecurity Framework) 2.0 版
NIST 框架提供了一套管理資安風險的結構化方法,並聚焦五大功能:
治理 - 建立和監控企業的資安風險管理策略、期望與政策。
發掘 - 協助掌握企業的資產、資料,以及相關的資安風險。
保護 - 建置防護措施來保障關鍵服務的正常供應。
偵測 - 持續監控及偵測流程來發掘異常狀況與潛在事故。
回應 - 列舉一旦偵測到資安事故,應該採取哪些適當的行動。
復原 - 復原在資安事故中受損的功能或服務。
符合 ISO 27001 規範
ISO 27001 是資訊安全管理系統 (ISMS) 的國際公認標準,它為資安團隊提供了一套框架來協助企業發掘並管理其資安風險。
此外,那些在多個司法轄區內營運的企業,可能還需要遵守 SOC 2、FISMA 和 CMMC 之類的框架,視其所在的產業和法規要求而定。
以上簡單扼要提出幾個知名的合規標準,更詳細的內容請參考以下這張圖:
資安合規最佳實務原則
一套完善的資安合規計畫,能協助企業達成法規要求、保護敏感資料、防範資安風險。
擬定明確的合規政策與文件
企業必須制定符合產業規範的資安政策,這些政策應該包括:
資料存取控管:誰可以存取敏感資料?在什麼情況下?
風險管理規範:企業如何發掘、評估及防範資安風險?
資安事故應變程序:當發生資安事故時,企業該採取什麼行動?
合規監控指南:企業如何追蹤並確保持續符合資安標準?
定期執行資安稽核與風險評估
企業應定期執行資安稽核與風險評估,因為這有助於:
發掘資安缺失與漏洞。
確認是否合乎法規與資安標準。
偵測不符時宜而需要改善的資安控管。
確保第三方廠商符合資安要求。
實施嚴格的資料保護與存取控管措施
企業必須實施一套嚴格的資料保護政策來確保其網路安全合規,包括:
加密:保護儲存中及傳輸中的敏感資料,防範未經授權的存取。
多重認證 (MFA):強化認證程序,盡可能降低憑證失竊的風險。
最低授權原則 (PoLP):限制員工僅擁有其角色所必需的存取權限。
安全的資料廢棄:確保過期的資料確實根據 ISO 27001 與 GDPR 的合規要求來加以銷毀。
培養一個專屬的合規與資安團隊
一套合規計畫的成功需要領導者的支持與問責性做基礎,企業應指派:
資安長 (CISO) 或合規長來負責監督合規作業。
一個跨部門的資安團隊,來與 IT、法務及營運團隊合作,確保整個公司合規。
若內部專業不足,應聘請第三方合規顧問。
員工訓練與資安意識
建立一套資安事故應變與資安事件通報計畫
企業必須制定一套明確的資安事故應變計畫來迅速遏制、防範及通報資安事件。一套合規的資安事故應變框架應該包括:
事故偵測及分析:即時發掘潛在的資安威脅。
遏制與防範策略:盡可能降低損害並防範進一步入侵。
法規要求的資安事件通報:確保及時通知相關的主管機關、利害關係人,以及受影響的個人 (以符合 GDPR、HIPAA 資安法規以及 PCI-DSS 標準的要求)。
善用資安合規工具與自動化
合規管理有時相當複雜,但企業可採用以下資安工具來簡化程序:
資安事件管理 (SIEM) 系統:集中監控資安事件與合規違反情形。
合規管理平台:將政策追蹤、稽核記錄檔與資安評估自動化。
自動化漏洞掃描:在駭客集團攻擊系統漏洞之前預先發掘漏洞。
除了避免導致法律後果之外,資安合規還提供了諸多優點,包括:
更完善的資料保護
想要合規,就必須做到嚴格的資安控管與定期稽核,這有助於保護敏感資訊,避免遭到外洩或未經授權的存取。如此可降低資料外洩的風險,並且保障客戶的隱私。
防範風險
遵從合規標準,意味著必須在漏洞演變成嚴重資安風險之前及早發現並處理。這種主動式作法可大幅降低網路攻擊與其他資安事故發生的機率。
法律與法規保障
合規可藉由明確的指引與基準來確保企業履行必要的法律與法規義務,如此可降低導致罰鍰、懲處及法律爭議的高昂風險。
改善營運效率
一套結構完善的合規計畫,可簡化資安流程與政策,減少重複性,提升整體營運效率。這通常能加快回應速度,讓 IT 基礎架構變得更加靈活。
對企業來說,資安合規管理既複雜、又充滿各種挑戰,例如:
法規與安全標準不斷演進
GDPR、HIPAA、PCI-DSS 和 ISO 27001 等資安法規會經常更新來解決新出現的威脅。企業必須不斷修改政策、實施新的資安措施,並確保符合司法轄區的特定要求,以避免法律懲處和資料外洩。
在資安控管與企業營運之間取得平衡
嚴格的資安措施若沒有謹慎地整合,有時可能會干擾業務流程。企業必須在強制合規與維持生產力之間找到一個平衡點,讓資安計畫與營運目標一致,並且善用自動化來簡化資安的落實。
第三方廠商與供應鏈風險
許多企業機構在管理第三方供應商的合規要求時都遭遇挑戰,尤其當企業必須仰賴雲端服務、承包商以及外部合作夥伴的情況下。為了減少供應鏈漏洞,企業應定期評估廠商的風險、透過合約強制貫徹資安要求,並持續監控以確保其符合資安標準。
合規管理的複雜性與成本
許多企業面臨合規管理孤島化、資安控管疊床架屋,以及評估耗費資源的問題,如果沒有一套集中式方法,要同時符合各種框架將變得非常複雜。企業可將資安流程自動化、提升可視性、簡化工作流程,這些都有助於降低管理負擔、減少評估疲勞,並且降低稽核成本。
證明合規與資安控管成效
監理機關和利害關係人需要看到資安控管確實有效的證據,企業需要透過即時監控、資安數據分析,以及完整的報表來提供風險防範工作的可視性,並確保資安措施與合規要求一致。
Scott Sargeant 是趨勢科技產品管理副總裁,也是一名經驗豐富的技術領導人,在開發網路資安與 IT 領域企業級解決方案方面擁有 25 年以上經驗。