曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        2021年安全保障狀況與2022年展望
        發布時間:2022-01-05 10:22:22   閱讀次數:

        image.png

        雖然安全與合規行業每年都會發生如此多的事情,但如果我們要在 2021 年選擇一個主題來強調,那就是:對組織的網絡衛生及其合規計劃成熟度的期望越來越高。在公司和政府機構多年來遭受無數毀滅性攻擊之后——包括今年對國家關鍵基礎設施部門的重大襲擊(例如,石油管道、金融、食品和運輸部門都受到影響),組織終于開始加強自己的網絡防御及其對供應商和供應商的監督。


        供應鏈風險管理要求的最新法規

        在過去幾年中,供應鏈風險管理需要成為程序化(相對于臨時)的概念已經進入了許多法規和行業標準。這里只是一些比較突出的法規和標準組織應該注意的。 


        歐盟通用數據保護條例(GDPR

        GDPR的范圍包括所有收集、存儲或處理居住在歐盟境內的任何人的個人數據的歐盟組織,以及任何向歐洲居民或處理這些數據的非歐盟組織提供商品和服務的非歐盟組織。個人身份數據。歐盟希望全世界的數據處理商——包括托管服務提供商 (MSP) 和 SaaS 提供商——都遵守 GDPR 法規。利用非歐盟數據處理器的歐盟組織(數據控制者)必須確保其數據處理供應商遵循 GDPR 準則。 


        根據 GDPR 指南,數據處理者有責任以確保所有個人數據安全的方式保護數據,包括防止未經授權或非法處理,以及防止意外丟失和損壞。必須采取行政、物理和技術保障措施,因為歐盟法律對數據控制者和數據處理者規定了同等的責任。 


        加州消費者隱私權法案 (CPRA) 

        CPRA 將于 2023 年 1 月 1 日全面生效,它對數據處理者(代表另一家公司處理個人數據的人)提出了一套與 GDPR 類似的要求。它要求收集數據的組織(例如,任何擁有居住在加利福尼亞州的消費者的公司)要求其服務提供商以確保所有個人數據安全的方式保護數據。 


        NIST SP 800-53,信息系統和組織的安全和隱私控制

        任何處理聯邦信息的組織都需要實施NIST SP 800-53 控制并證明其合規性狀態,以維持與政府客戶的關系。NIST SP 800-53 于 2020 年 9 月進行了重大更新。它在供應鏈風險管理中添加了一個新的控制系列,用清晰的語言表明 NIST 希望組織將風險置于供應鏈管理的核心。這個控件系列強調了幾個關鍵點: 

        • 所有機構和承包商都必須有正式的風險政策和程序來識別和管理供應鏈風險。 

        • 所有機構和承包商都需要了解他們使用的系統的來源和組成部分,以確保上游的變化得到評估和記錄 

        • 所有代理機構和承包商都必須根據已識別的風險以及商定的合同或條款和條件對供應商進行評估。 

        • 所有機構和承包商必須確定與敏感操作和系統相關的關鍵供應鏈信息;識別安全控制措施以應對與運營和系統相關的第三方風險。 

        • 第三方協議或合同應明確強調第三方應遵守的任何與隱私相關的控制措施,作為系統和服務供應開發的一部分。 

        • 必須建立通知協議,以確保第三方知道何時以及如何在出現問題時向組織發出警報。   


        換句話說,NIST 表示,如果您的公司被視為政府承包商的“供應商”,您將需要實施客戶希望您擁有的安全控制,并證明您在與客戶的合同協議中擁有這些控制。如果您在自己的應用程序中使用第三方組件,則需要評估使用該第三方組件所帶來的風險,并驗證第三方是否有足夠的數據保護措施來抵消風險。 


        CMMC 2.0

        該(CMMC)程序網絡安全成熟度模型認證是在2020年由美國國防部創建,以確認所有企業在國防工業基礎,這兩個承包商和分包商,在具備足夠的安全和隱私保障措施,以保護聯邦信息(具體而言,控制未分類的信息)在他們的照顧范圍內。原始版本設置了五個級別,并要求所有承包商和分包商——無論他們是否處理敏感數據——都要通過第三方認證評估來驗證他們的安全控制和合規狀況。 


        2021 年 11 月,美國國防部將該計劃 (CMMC 2.0) 修改為三個級別,并取消了對級別 1 中不處理受控非機密信息的公司的第三方認證要求。但是,所有 1 級公司(主要是小型企業)都必須進行年度自我評估,并且公司高管或高管需要確認年度自我評估中提供的答案是準確和完整的。 


        為確保沒有人在其安全自我評估中提出虛假聲明,司法部有權調查據稱根據《虛假聲明法》(FCA) 對其網絡安全實踐提交“虛假聲明”的政府承包商。司法部可以對被判有罪的實體和個人處以巨額罰款。 


        美國司法部表示,以下類型的情況可能會觸發對組織或個人的調查: 

        • 故意提供有缺陷的網絡安全產品或服務

        • 故意歪曲他們的網絡安全實踐或協議

        • 故意違反監控和報告網絡安全事件和漏洞的義務 


        根據 FCA,當某人 1) 實際了解信息,2) 故意無視信息的真實性或虛假性,或 3) 對信息魯莽行事時,該人會在知情的情況下采取行動。此外,此人無需有任何特定意圖來欺騙政府。因此,由于它涉及 CMMC 2.0 的自我評估確認,如果確認不正確,DIB 公司可能會根據 FCA 承擔責任,即使其領導層無意欺騙政府并且不實際知道其肯定是錯誤的。DIB 公司可能會因未能在確認之前對其網絡安全實踐和程序進行充分的盡職調查而被認定為“魯莽無視事實”。這使公司受到損害賠償和金錢處罰。 


        以下是所有這些規定的關鍵要點:

        如果組織未能充分關注其合規計劃(包括未能對自身及其第三方的網絡安全實踐和程序進行充分的盡職調查),則可能會失去客戶并面臨重大的法律責任。根據某些法規(如 CMMC 2.0),監督公司運營的高管也可能面臨個人責任。 


        2022 年的挑戰:在持續保障模式下運營 

        為了減少這種潛在的責任,組織必須充分了解他們被要求滿足的要求并實施必要的控制來滿足這些法律和合同要求。組織應不斷測試其控制措施并收集證據,以向客戶(和監管機構)表明他們在整個合同期限內都履行了合同義務。 


        除了減輕法律風險外,持續審查和管理控制措施對于保持彈性至關重要。網絡攻擊方案正在迅速發展。日常業務決策可能會引入新的安全和合規風險,例如員工何時開始使用新的云服務來提高運營效率,或者部門決定推出新產品時。   


        在這個交匯點,組織必須迎接新的挑戰。他們需要建立在持續保證模式下運營所需的能力。這包括找到一種方法來擴展實施控制的活動——為滿足法律要求、降低安全和隱私風險以及提高運營效率而開展的活動。組織將需要采用結構化、可重復、持續的方法來培訓合適的人員進行控制、分配控制的所有權、評估控制的合規性以及彌補差距。 


        為了在持續保證模式中成功運營,組織需要使用技術來集中管理其合規計劃,并將運營控制的責任分配給多個業務職能部門的人員。技術將使人們能夠正確、準時、高效地執行控制活動,從而使保障工作成為業務推動者,而不是過多地減慢業務速度。這種持續保證模式與過去以審計為中心的模型大不相同,在過去的模型中,組織依靠時間點審計來衡量其安全狀況并確定需要采取哪些補救措施。那些接受以持續保證模式運營的挑戰的組織將是客戶信任和喜愛的組織。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精