分离法规遵从性和企业网络安全目标的价值

通用数据保护条例（GDPR）是欧盟（EU）的一项授权，于2018年5月25日生效。该条例在保护企业级数据和信息安全实践方面是全面的。加利福尼亚州消费者隐私法案（CCPA）也是类似的选择退出立法，于2020年1月1日生效。 那些不遵守这些法律的人可能会受到高额罚款。为了提供一些GDPR法规的背景知识，网络安全中心创建了一份市场报告，向最终用户提供“最佳做法”，并将GDPR与其他国际合规措施相结合。此外，它提供了有关将合规性措施与技术，安全性驱动的事件分离开来的见解。 GDPR揭示了跨国组织面临的众多挑战，但它突显了部门间沟通与合作的重要性。 由于其范围广泛，GDPR需要在组织内部进行“彻底转型”。数据隐私和网络安全法专家贾马尔·哈滕斯坦（Jamal Hartenstein）表示：“高级管理层的合作与参与以及组建合适的团队将是GDPR成功成熟的关键。” Hartenstein说，由于影响扩散到各个业务部门，因此不同部门可能需要记录数据流经其企业的过程流程图。 该法规的广泛性质要求客户服务技术人员，网络管理人员，公共事务，备份和灾难恢复人员，法律部门等关注。 同样，亨利·杰克逊军事医学进步基金会全球风险与合规总监格伦达·洛佩兹（Glenda Lopez）表示：“一个包含安全性和快速变化的组织的整体文化是关键。” 她继续说：“人，流程和技术对于成熟至关重要，因为安全触角并触及企业内的所有事物。安全实践不应孤立无援。它一直并将永远是企业范围的工作，并将涉及整个组织。” 请参阅相关：使用数据隐私作为竞争优势的大型软件公司。请参阅相关：使用数据隐私作为竞争优势的大型软件公司。 随着当今首席信息安全官（CISO）和安全团队其他成员的工作量不断扩大，很难在安全运营和合规性措施之间划清界限。为了合规，必须具有计算出的安全状态。 为了严格控制，必须遵守管理框架和授权。为了达到最佳的安全性和合规性，必须彻底了解组织的风险状况。 在安全领域，这是一个复杂且不断发展的领域，它远远超出了CISO的范围，从企业的阶梯到董事会甚至是员工队伍。 尽管如此，哈滕斯坦还是主张对两者进行仔细的划分。他说，合规措施和技术性，安全性驱动的事件并不是类似的开始。合规性措施会选中监管复选框。相反，即使不遵守法规，安全性驱动的事件也适用于企业。 哈滕斯坦说：“采取“合规措施”或将其与足够的技术安全措施相结合以保护您宝贵的数据或消费者数据是不安全的，” “不同之处在于，确实有监管机构来保护消费者数据。合规性是作为最低要求，最低标准和进入障碍而存在的。企业中由技术，安全性驱动的事件应旨在超越（不仅仅是达到）监管机构设定的标准。” 请参阅相关：通过企业中的合规性降低网络风险请参阅相关：通过企业中的合规性降低网络风险 网络专家警告不要在同一战略目标或业务目标下接近安全性和合规性。 尽管两者的目标在外观上相似，但在组织层次上却有很大差异。 “合规性措施可能会限制您在法庭上的责任或减轻诉讼的威胁，而技术安全措施旨在真正保护您的数据或解决您企业特有的风险。”为了战略规划的目的，必须将两者明确区分开。 免费阅读完整的市场报告，“降低风险，建立对GDPR的合规性”。它还以规范的方式为合规性，安全性和两者的合理融合描绘了“未来之路”。 请参阅相关：网络安全中心市场报告请参阅相关：网络安全中心市场报告