合规：我不能了解一些安全专业人员，特别是不会每天或乃至每时处理问题的首席信息安全官（CISO）。假如公司要遵照的不是付出卡职业数据安全规范（简称PCI DSS），那么或许是HIPAA法案、GLB法案、萨班斯法案或是许多其它私有和安全法则之一。维护企业的数据很必要，一起也要保证企业实行合规的要求。

所以CISO怎么才干正确地办理合规？CISO需求有什么样的要害办理进程、优先级排序和心态，才干保证信息安全团队能让企业满意合规要求？本文我想介绍或许有助于你获得成功的四个方面。

你的口头禅：维护数据

首要，记住作为CISO你的人物是公司信息安全的代表。不论是什么特定的合规要求，你的首要作业是维护公司的数据，而且还要维护你的职工、厂商、顾客和你的股东。

假如你检查要害合规辅导方针——包含PCI DSS、HIPAA或是NERC要求——其中心的主题都是维护体系、数据和避免数据丢掉。基本上大多数合规要求的基本原则是坚持“CIA”：即数据和体系的保密性（confidentiality）、完整性（integrity）和可用性（availability）。

了解办理合规的要求

其次，了解你有必要遵照的合规要求。阅览并研讨它们，而且对照它们进行自审和评价。把握关于这些法则的相关解说、判决和新闻最新动态。例如订阅关于PCI DSS、HIPAA或NERC的新闻，或许创立Google Alert，了解关于信誉卡安全，或是任何和你职业最相关的新闻。经过了解要求和坚持对这些主题的职业交流，你将能够对或许会影响公司合规情况的决议计划成果更了解。

你还能够经过运用职业评价检查列表（用于辅导改变办理或许架构评定）来了解要求。保证对体系的改变——即使是那些和合规主题没有直接相关的——不会使数据或体系面临潜在的风险。

安全训练和安全意识

作为CISO，我深信职工是公司的第一道防地。要保证职工和承包商意识到他们的行为，或许不作为或许会导致数据走漏或违规的情况。那么，你怎么传达这些信息呢？

第一步是检查事务进程，而且揣度在数据流和体系操作中由于没实行特定的要求而导致违规的当地。运用这些信息，花时刻对要害职工进行训练，而且进行职责定位以维护信息安全。

例如，就PCI DSS法案来说，一个潜在的单薄区域是在销售点终端机处理信誉卡数据。恰当的办法（而且乃至是PCI DSS要求的）是花时刻向面临客户的职工——或许至少拟定一些根据计算机的训练或职工安全意识手册——解说处理信誉卡的正确和不正确的办法，例如不要仿制信誉卡号。

在这方面的其它办法还有辅导开发重要Web使用的职工进行测验和数据校验，或是训练一切便携式电脑用户怎么在外出旅行时安全防护他们的机器。

换句话说，要常常训练和辅导职工了解采纳某些行为的原因，以及假如数据没有得到恰当地维护会给公司声誉和职工带来的影响。

了解本源

假如产生事端，该事端或许会让公司的法规遵照遭到质疑，所以有必要花时刻和精力来了解事端的根本原因。不要仅仅掩盖预兆，要真实地了解产生了什么和为什么会产生。然后花时刻考虑补救措施，来解决问题和避免事情再次产生。承认和追寻这些补救措施的确完结。

这个办法也将有助于你与监管人员及合规监督者交流。经过了解你的问题和事情，你会说明你不想让过错产生和你乐意付出时刻和尽力来避免问题再次产生。假如到了罚款或处分的境地，假如你一向和监管者坚持坦白，他们很或许会宽大处理。

继续的压力

作为CISO，我常常对我的安全团队搭档说，咱们最重要的作业是继续重视公司合规和数据安全。不幸的是，这或许并不简单完成，而且有时还具有挑战性，可是你需求坚持这个压力来坚持和进步你地点企业的安全情况。

【修改引荐】

1. 由PCI保证持卡人数据安全看国内付出安全
2. 终端安全系列谈：准入操控保证“内网合规”