法律團(tuán)隊(duì)一直在信息安全和合規(guī)計(jì)劃中發(fā)揮重要的作用。律師們提供的專業(yè)知識(shí)補(bǔ)充了IT專業(yè)人員的技術(shù)知識(shí),當(dāng)這兩者朝著共同目標(biāo)合作時(shí),可以幫助企業(yè)建立全面的IT風(fēng)險(xiǎn)管理計(jì)劃。
在這篇文章中,我們將探討在各種規(guī)模的企業(yè)中,法律團(tuán)隊(duì)可以為信息安全提供幫助的三個(gè)不同領(lǐng)域以及如何確保這兩個(gè)團(tuán)隊(duì)成功地?cái)y手合作。
風(fēng)險(xiǎn)管理
法律部門經(jīng)常發(fā)現(xiàn)自己被安排參與企業(yè)風(fēng)險(xiǎn)管理(ERM)計(jì)劃中,這主要是因?yàn)閮蓚€(gè)原因:首先,他們通常了解企業(yè)各個(gè)領(lǐng)域面臨的很多敏感風(fēng)險(xiǎn);其次,很多企業(yè)風(fēng)險(xiǎn)都具有法律性質(zhì),需要律師的專業(yè)知識(shí)來協(xié)助解釋法律和法規(guī),以及評估違規(guī)時(shí)對企業(yè)的影響。
信息安全專業(yè)人員經(jīng)常執(zhí)行自己的風(fēng)險(xiǎn)評估,但顯然,信息安全團(tuán)隊(duì)查找的風(fēng)險(xiǎn)與律師部門關(guān)注的風(fēng)險(xiǎn)非常不同。此外,安全驅(qū)動(dòng)的風(fēng)險(xiǎn)評估往往在隔離環(huán)境進(jìn)行,很少與IT部門之外的人進(jìn)行共享,這是由于其很高的技術(shù)性質(zhì)。
如果IT領(lǐng)導(dǎo)者能夠彌合這種技術(shù)差距,并提供對信息安全風(fēng)險(xiǎn)的“外行”式評估,他們就可以與其法律團(tuán)隊(duì)合作將這些評估納入到更廣泛的ERM計(jì)劃。每個(gè)大型企業(yè)都應(yīng)該有ERM計(jì)劃,以在企業(yè)范圍收集風(fēng)險(xiǎn)數(shù)據(jù)來評估和緩解企業(yè)面臨的風(fēng)險(xiǎn)。同時(shí),信息安全風(fēng)險(xiǎn)(例如惡意軟、偉大補(bǔ)丁的系統(tǒng)、政策違規(guī)等)和很多其他風(fēng)險(xiǎn)也應(yīng)該被納入到更廣泛的風(fēng)險(xiǎn)管理工作中。
為了確保這種合作的實(shí)現(xiàn),信息安全領(lǐng)導(dǎo)者應(yīng)該伸出手與法律同行建立合作關(guān)系。而企業(yè)應(yīng)該促進(jìn)這兩個(gè)團(tuán)隊(duì)對各個(gè)角度的風(fēng)險(xiǎn)進(jìn)行討論,這無疑會(huì)找到他們共同的興趣領(lǐng)域以及方法讓每個(gè)團(tuán)隊(duì)支持對方的目標(biāo),包括風(fēng)險(xiǎn)管理。這種合作方式將最終幫助確保企業(yè)的領(lǐng)導(dǎo)層清楚了解安全風(fēng)險(xiǎn),并可能讓他們分配更多資源來解決IT風(fēng)險(xiǎn)。
合規(guī)和事故響應(yīng)
大多數(shù)法律團(tuán)隊(duì)最開始參與IT安全問題是為了向IT和職能團(tuán)隊(duì)提供幫助,以確保企業(yè)遵守安全法律和法規(guī)。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)、健康保險(xiǎn)流通與責(zé)任法案(HIPAA),格雷姆 -里奇-比利雷法案(GLBA)和很多其他法規(guī)向IT企業(yè)提出了各種要求,而IT企業(yè)往往缺乏培訓(xùn)和經(jīng)驗(yàn)來解釋和適用復(fù)雜的法律及行業(yè)準(zhǔn)則。
律師可以幫助IT團(tuán)隊(duì)清楚地了解哪些法規(guī)適用于企業(yè)及其適用范圍。當(dāng)法規(guī)出現(xiàn)歧義時(shí),他們還能夠提供有關(guān)所計(jì)劃控制的可接受性的建議。信息安全團(tuán)隊(duì)?wèi)?yīng)該毫不猶豫地找到法律團(tuán)隊(duì)來討論如何解釋和遵守合規(guī)要求。每個(gè)團(tuán)隊(duì)都需要一些練習(xí)來學(xué)習(xí)如何了解對方的語言,所以請記住,雙方都需要有耐心。
當(dāng)數(shù)據(jù)泄露事故或其他重大安全事故發(fā)生時(shí),法律團(tuán)隊(duì)也發(fā)揮了重要作用。他們的專業(yè)知識(shí)可以幫助從法律的角度作出響應(yīng),并可以就數(shù)據(jù)泄露事故通知和響應(yīng)向企業(yè)領(lǐng)導(dǎo)提供法律建議。因此,在事故發(fā)生之前,絕對有必要讓法律團(tuán)隊(duì)參與事件響應(yīng)規(guī)劃中。這應(yīng)該包括,在桌面演戲中,在模擬IT問題的同時(shí),還應(yīng)該考慮相關(guān)的法律問題。當(dāng)事故真的發(fā)生時(shí),也應(yīng)該立即通知法律部門,并讓他們參與迅速響應(yīng)工作中。
合同審查
大多數(shù)企業(yè)已經(jīng)在依靠其法律團(tuán)隊(duì)來審查IT合同(如果你沒有,你應(yīng)該這樣做)。這項(xiàng)工作的自然延伸是要求法律團(tuán)隊(duì)確保合同中的安全語言可以充分保護(hù)企業(yè)的利益。這應(yīng)該同時(shí)應(yīng)用于與供應(yīng)商和客戶的合同,并且應(yīng)該包括覆蓋面問題,包括安全控制、審計(jì)、事故通知、賠償?shù)戎匾獑栴}。
促進(jìn)安全和法律團(tuán)隊(duì)合作的最佳途徑之一是讓他們合作開發(fā)一套解決這些問題的標(biāo)準(zhǔn)合同語言文檔。這樣的話,信息安全團(tuán)隊(duì)可以添加這種語言到其接收或制定的任何合同,確保可以自動(dòng)解決關(guān)鍵的法律問題。當(dāng)合同的另一方接受標(biāo)準(zhǔn)條款時(shí),那么合同可以迅速獲得批準(zhǔn)。在另一方面,對標(biāo)準(zhǔn)條款提出的任何修改都需要法律和信息安全團(tuán)隊(duì)的深入審查。
結(jié)論
與法律部門建立牢固的關(guān)系是信息安全專業(yè)人士快速獲得成功的途徑之一。當(dāng)信息安全和法律團(tuán)隊(duì)的專家聯(lián)手合作來解決信息安全帶來的問題時(shí),整個(gè)企業(yè)都會(huì)從中受益。
京公網(wǎng)安備 11010502049343號(hào)