私は法律事務所のIT管理者です。機密性の高い顧客データと一部の健康記録を取り扱います。外部のコンサルタントにデータセキュリティの実践を評価してもらいたいのですが、何を求めればよいかわかりません。
本当の答えは「あなたが当てはまる規制の枠組み、HIPAA、SOX、PCI-DSSなどに依存する」と私は理解しています
しかし、私の質問はコミュニティに対するものです。一般的なオフィス環境に適した一般的なセキュリティ基準は存在しますか?
具体的には、前述の規制の枠組みのいずれにも該当しませんが、何もしないことも良い選択肢ではありません。
医療データを含む機密の個人データを保護するためのガイドラインを提示しているので、データ保護法(または管轄内の同等の法)を検討する必要があります。その中の文言や類似の文書は、「適切な保護」のような語句を使用しているのでかなりおかしくなっています。
また、ISO27000ファミリは、業界標準の非常に便利なセットになりました。 ISO27002はほとんどすべての組織に適しています。そのため、組織を27002準拠として認定する立場にない場合でも、重要な構成要素として使用できます。
[〜#〜] isf [〜#〜] を確認してください。 ISFを引用するには:
この規格は、ISFの情報リスク管理スイート製品の一部であり、豊富な資料、詳細な調査、および世界中のISFメンバーの広範な知識と実践的な経験に基づいています。
この基準は、少なくとも2年ごとに次の目的で更新されます。
主要な国際組織のニーズに対応し、情報セキュリティのベストプラクティスの領域を改善し、情報セキュリティの最新の考え方を反映し、ISO 27002(17799)、COBIT v4.1などの他の情報セキュリティ関連の標準との整合性を保つPCI/DSS•最新の「ホットトピック」に関する情報を含める。
もう1つの方法は、法律事務所のパートナーに、クライアントの記録が破損、紛失、または公開された場合のリスク/責任/評判上の損害を評価させることです。これにより、セキュリティ要件を定義するために簡単に参加できます。
上記の両方の答えはお金に強大ですが、私は次の警告を追加したいと思います。私は規制サービス会社を経営しており、ISO 27001の認定を取得しました。認定取得を検討している人に伝えるべきことの1つは、規格に認定されることは、すべての悪を防ぐ魔法のお守りを取得することとは異なります(そして訴訟)。これらの基準は必須ではなく、認定は任意であるため、法的救済に対する法廷での保護は常にデューデリジェンスに帰着します。
言い換えると、治安判事が機密情報を不当に公開したと考えている場合、ISO 27001を持っているかどうかに関係なく、混乱することになります。ただし、認証のポイント、およびこれは覚えておくことが非常に重要です。それを取得するには、完全に方法論的かつ注意深く、すべての責任を一覧表示し、それらを評価し、是正措置でこれらに対処する必要があります。これは、認証プロセスの最後に、会社はより慎重になり、sysadminの用語を借用するように「強化」されることを意味します。
ISOが実質的に他のすべての規格の要件をカバーすることは一般的に受け入れられているため、SOXなどではなく、ISO 27001に偏っています。 PCIには、処理施設の分離などのいくつかの癖があり、その他の標準は特定の事項について規範的である場合がありますが、ISOフレームワーク内でこれらを実装することもできます。おそらく、それを同時により適切に行うことができます。
すでに正接で言及されている最後のポイントの1つは、優れたリスク評価ベースのシステムがコストを節約できることです。それを始める前に、最も高価なファイアウォール、最もスマートなカードリーダー、完璧なマルチサイトフェイルオーバーが必要でした。しかし、適切なリスク評価を行うと、実際にはリスクを完全に取り除くことは決してないことに気づき始めます。そのため、利益の減少の法則により、究極の保護を目指すよりも賢くお金を使うほうがよいでしょう。結局のところ、最大の脆弱性の1つは従業員です。だからあなたの会社のお金を節約し、いくつかのスタッフのトレーニングセッションを整理します。
@Roryの回答の最後の小さなフレーズを拡張して、アプローチを再検討することをお勧めします。使用できる適切な規制を探すのではなく、専門のコンサルタントにビジネスリスクベースの資産重視のセキュリティ分析を依頼してください。
つまり、一般的な標準について心配する必要はありません。代わりにyour businessに重要なことに焦点を当てます-これには盗みが含まれる可能性があります機密性の高いクライアント情報、記録の利用不能(請求可能な時間の継続を妨げる可能性があります)、評判の低下など。その後、レビューはこれらの問題に焦点を当て、それらの価値の見積もりに基づいて、これらが損傷に対して脆弱である方法を調べます。
(もちろん、セキュリティレビューでは、該当する規制や法律があればそれも特定する必要があります。もちろん、これがビジネスにとって最大のリスクになる可能性があります。)
これはあなたのセキュリティバック/クッドに最大の強打(またはそれの欠如)を提供します。
一部の法的クライアントはISO 27001に移行していることがわかりました。そのため、 ロードマップ (またはガイド)を作成しました。その方向への移行を検討している場合は、自由にダウンロードして参照用に使用してください。
ISO 27002(以前のISO 17799)は、セキュリティコントロール(「ベストプラクティス」と呼ばれることが多い)の「集合」であり、「セキュリティ標準」としてよく使用されます。
ISO 27001は情報セキュリティ管理システム(ISMS)であり、情報セキュリティリスクを許容可能なレベルに保つために、企業がどのセキュリティ管理(主にISO 27002コレクションからのもの)を実施する必要があるかを決定できる論理的で構造化されたプロセスです。 。このアプローチは、関連するコントロールとそれらのコントロールに必要な範囲/厳密さを決定するための正式で監査可能なプロセスを定義することにより、ISO 27002を発展させます。