Som mer regulering og tilsyn er implementert globalt, blir behovet for å forstå overholdelse retningslinjer og prosedyrer enda viktigere. To kritiske etterlevelsesprogrammer er Payment Card Industry Data Security Standard ( PCI - DSS ) og den nordamerikanske Electric Pålitelighet Corporation Critical Infrastructure Protection ( NERC - CIP ) . Begge involverer IT-sikkerhet og beskytte eiendeler , om enn i ulike bransjer . PCI - DSS

PCI - DSS krav coalesced i 2006 som en kollektiv gruppe av retningslinjer som kreves av fem store internasjonale retail elektroniske betalinger nettverk : VISA , American Express , Discover, Mastercard og JCB (Japan Credit Bureau ) . De 12 kravene i PCI - DSS gjelde for bedrifter i finansnæringen som gjør forretninger med en av disse fem store kredittkortselskaper og som enten prosessen , sender eller lagrer kredittkortnumre ( også kjent som " kortholders data ") . Drivkraften for PCI - DSS er å gi vern mot identitetstyveri.
NERC - CIP

CIP standarder pålagt av NERC er på plass for å bidra til å sikre den nordamerikanske kraftsystemet . Strøm -generering verktøy og makt forhandlere er underlagt disse standardene . De 18 standarder ( ikke alle enheter er underlagt alle standarder ) er lik PCI - DSS , ettersom de styrer hvordan et nettverk skal konfigureres og hvor kritiske cyber eiendeler skal plasseres og åpnes (i motsetning til kortinnehaveren data . )

straff for brudd

straffen for å unnlate å overholde PCI - DSS er enkel: hvis et selskap er funnet å være ute av etterlevelse, vil de miste sin forretningssamarbeid med VISA, Mastercard , etc. For selskaper som har virksomhet behandler finansielle transaksjoner , er deres levebrød tatt bort. NERC institutter økonomiske sanksjoner for selskaper funnet å ikke være i samsvar . Bøter kan kan være så høyt som $ 1 million per dag for de selskapene egregiously ut av samsvar.
Andre Compliance retningslinjer og prosedyrer
p Det er flere andre standarder , krav, retningslinjer og prosedyrer som organisasjoner må følge for å beskytte data i denne elektroniske tidsalder . Noen av dem inneholder : en

- Sarbanes - Oxley ( SOX ) : . USAs føderale retningslinjer ansvarlighet med bedriftens økonomi og revisjon - Statement on Auditing Standards No 70 ( SAS70 ) : Revisjon standarder for revisorer . Disse standardene kan søke økonomisk så vel som IT- sikkerhet næringer - Health Insurance Mobilitet og Accountability Act ( HIPAA ) : . . USAs føderale føringer for hvordan medisinske tilbydere og andre må beskytte en pasientens medisinske data

Hvordan å overholde

Vanligvis er det to deler til passerer en PCI - DSS eller NERC - CIP compliance revisjon : dokumentasjon og teknisk gjennomføring. Den siste delen er gjort av en organisasjons IT-avdeling med veiledning typisk fra en revisor ( " QSAs , " i PCI - DSS verden) . Dokumentasjon er vanligvis håndteres av tekniske forfattere , men disse standardene er så relativt nytt at det er vanskelig å finne en forfatter som faktisk har erfaring å skrive til disse retningslinjene . PCI Guy, online på http://www.thepciguy.com , er en teknisk dokumentasjon konsulentfirma som spesialiserer seg skriftlig PCI - DSS , NERC - CIP og SOX compliance dokumentasjon.