现在，对于在合规领域工作的任何人来说，数据保护比以往任何时候都更加重要。为了与目标客户开展业务，公司必须遵守越来越多的信息安全和隐私法规和标准。此外，这些数据保护合规性标准（例如，SOC 2、CSA STAR、CMMC、ISO 27001、NIST 800-53）的更新频率比过去更高。 

确保满足每个单独的标准可能既困难又耗时。但是，您可以实施一些策略来帮助您努力满足您负责的所有标准和法规。

在本文中，我们将深入探讨什么是数据合规性、需要满足的常见网络安全和数据保护/隐私法规，以及如何确保数据合规性。 

什么是数据合规性？

什么是数据合规性信息图

数据合规性是数据保护合规性的简称，是遵循各种法规和标准以维护受监管数据（例如个人身份信息、医疗信息）和/或敏感数据（例如客户名单）的完整性和可用性的过程。所有这些都是为了帮助确保保护受监管和/或敏感数据免遭未经授权的使用。数据合规性的另一个关键部分是跟踪正在存储的数据类型和数量，以及在整个生命周期中如何管理存储的数据。 

数据保护法规和标准

目前，围绕数据安全和数据隐私制定了无数特定于行业和特定于地点的法规。以下是一些最著名的数据保护法规。 

HIPAA

HIPAA，正式名称为1996 年的《健康保险流通与责任法案》，它为企业和提供者必须如何处理患者的个人健康信息 (PHI)以确保其保密和安全设定了数据安全标准。 

HIPAA 定义的所有“涵盖实体”都必须保持HIPAA合规性。涵盖的实体不仅包括提供者和健康计划，还包括有权访问 PHI 的业务伙伴，例如：

• 数据传输提供商
  

• 医学转录员

• 软件业务

• 保险公司

从本质上讲，任何在医疗保健领域开展业务的组织都必须遵守 HIPPA数据安全性和合规性标准。

相关链接：美国：HIPAA | HITECH数据安全合规性要求

GDPR

该通用数据保护条例，或GDPR，是由欧盟颁布的保护自己的公民的数据，要知道提供商收集有关这些数据的权利。它还为报告违规行为以及如何存储和保护数据制定了严格的规则。

任何与欧盟客户的业务都受到 GDPR 的约束，而GDPR 是惩罚方面较为严厉的法规之一。它允许根据违规的严重程度采取分级方法，最高罚款为全球年营业额的 4% 或 2000 万欧元——以较高者为准。

PCI-DSS

支付卡行业数据安全标准 (PCI-DSS)由支付卡行业安全标准委员会制定，该委员会是一个独立的监管机构。与其他法规不同，它不是由政府实体强加的；它是一组由 PCI SSC 强制执行的合同承诺。

任何接受、存储或传输持卡人数据的企业都受 PCI-DSS 的约束，需要采取适当的保护措施以确保他们正确处理和存储这些数据。 

即使您使用第三方组织来处理信用卡付款，您也应该遵守 PCI-DSS。有关如何实现 PCI-DSS 合规性的指导，请查看“ 全球：支付卡行业数据安全标准（PCI DSS）审计和合规性要求” 

SOX

2002 年萨班斯-奥克斯利法案 (SOX) 是在安然丑闻发生后不久颁布的，以防止类似的欺诈事件。虽然 SOX 主要处理财务报告，但它仍然是一个重要的合规性考虑因素，IT 组织仍然需要了解并确保财务报告准确及时。美国的每家上市公司都必须符合 SOX 标准。

您是否需要扩展数据安全性和合规性计划以满足不断增长的安全需求？详细了解可与您的企业一起扩展的 Hyperproof 合规性计划。

相关链接：美国：萨班斯-奥克斯利法案（SOX）法案数据静态安全合规性要求

HITRUST 

HITRUST 是领先的数据保护标准开发和认证组织。它创建了HITRUST CSF 信息风险和合规管理框架。 

虽然它不是一个法律制度，但 HITRUST CSF 是组织考虑的有用的风险管理和合规框架，因为它整合并协调了任何安全和隐私框架的最大数量的权威来源。 

2020 年 6 月，HITRUST 补充说：

• 该CMMC框架（新的网络安全标准，所有的国防承包商和供应商需要满足

• 两个社区特定标准

• 更新了现有来源 

通过添加这些必要的内容，HITRUST确保框架与快速变化的监管和风险管理环境保持相关。 

网络安全成熟度模型认证 (CMMC)

国防部 (DOD) 认为安全是所有采购决策的基本方面，不应与成本、进度或性能一起交易。2020 年 1 月，国防部发布了新网络安全成熟度模型认证 ( CMMC ) 的第一版，以评估和增强国防工业基地 (DIB) 的网络安全态势。

CMMC 旨在作为一种验证机制，以确保适当级别的网络安全实践和流程到位，以确保基本的网络卫生并保护驻留在该部门行业合作伙伴的受控非机密信息 (CUI)和联邦合同信息 (FCI)。网络。

CMMC 结合了各种网络安全标准和最佳实践，并将这些控制和流程映射到从基本网络卫生到高级的多个成熟度级别。它以基于信任的现有法规 (DFARS 252.204-7012) 为基础，通过添加与网络安全要求相关的验证组件。

所有与国防部开展业务的公司，包括分包商，都必须获得认证。 

虽然每组安全合规标准对组织应该如何保护信息系统和个人数据以及报告数据泄露都有独特的要求，但您可以实施一些总体策略，以使您的安全合规计划尽可能成功。

 您如何确保数据合规性？

1. 确保您的数据保护措施是最新的

数据保护是这些法规的核心。因此，在确保您拥有强大的安全合规流程的同时，请确保您也拥有现代数据合规策略。这些数据合规性策略对于降低您的企业遭遇数据泄露的可能性至关重要。

如果您公司的数据管理和保护措施已经过时，您会发现要跟上以当今技术为基础制定的数据安全和合规标准要困难得多。 

通常，传统的数据存储解决方案不允许：

• 保持记录中
  

• 快速召回

• 在所需时间后删除数据

而传统的数据存储解决方案并不那么可靠，这使您的数据和您的公司面临更大的风险。

福布斯通讯委员会推荐了五种数据保护策略，可以帮助您为当今的数据合规性挑战做好准备：

1. 识别您的企业创建和拥有的所有数据，无论这些数据位于何处。
   

2. 对用户可识别数据进行分类，包括用户生成的数据（来自网站或移动应用程序交互）和代表用户生成的数据（由第三方生成）。

3. 通过快速、轻松地访问存储的数据，简化您的数据中心和分布式业务环境。

4. 让您的 IT 基础设施能够在动态的、软件定义的存储环境中按需配置和重新分配资源。

5. 确保在单独的灾难恢复位置进行复制，以便在主副本出现故障时您可以访问完整的第二个数据副本。您可以在存储阵列级别、设备级别或主机服务器级别进行复制。

此外，定期审查您的数据保护措施以确保它们符合行业数据安全性和合规性标准也很重要。 

随着法规、您的组织、您使用的技术、您的员工和您的客户的发展和变化，您需要调整您的政策、程序和其他控制措施，以保护您的信息资产。

目前，数据保护法规处于不断变化的状态，您可以预期管理 IT 合规性（例如SOC 2）的标准和框架会相应地发生变化。 

Hyperproof等合规运营软件可以帮助您快速建立信息安全合规计划并保持内部控制处于最新状态。  

2. 保存数据保护措施和审计程序的详细记录 

出于以下三个原因，必须记录您的所有数据保护措施和审计程序： 

首先，此记录将确保您公司的合规活动 的详细知识不会留给一个员工。如果没有此记录，您的组织可能会一无所知，这会增加审计发现数据安全和合规计划中存在的漏洞的机会。

其次，此合规活动记录将作为贵公司真诚努力遵守每组法规的示例。许多法规都有内置的善意例外，允许监管机构减轻对制定了可靠合规计划或至少正在积极努力整合合规计划的公司的惩罚。

第三，为了通过审核，您需要向您的审核员提供您认真对待数据安全标准的证据。审计员需要详细记录，以评估您实施的控制措施是否能够充分保护您存储或处理的数据。牢记审核员的要求将有助于您专注于这些关键项目。

Hyperproof 使您的证据项目井井有条并带有标签，以便您可以快速定位和查看该证据。它还记录您的合规性活动，以轻松向审计员展示您的组织已采取的行动。 

3. 有数据安全和合规标准的重点人员

考虑到前面几点，您可能想知道，谁负责数据合规性？就像任何其他流程一样，您的数据安全和合规流程需要有一个负责人来管理所有移动部分。此人应与高管直接联系，并具有影响整个公司其他人以达到数据安全和合规标准的可信度和权威。

这个职位对于任何受任何数据安全和合规性标准约束的公司都很重要，但对于 GDPR 下的某些组织来说是必需的。一个数据保护官员是企业安全的领导者的公司处理某些数据量的要求。

但是，即使 GDPR 不要求您的公司拥有数据保护官，数据保护专家也会使大多数公司受益。

4. 使用通用控件框架 

通用控制框架 (CCF) 是一组综合控制要求，从大量行业信息安全和隐私标准中聚合、关联和合理化。使用 CCF 使组织能够满足此安全、隐私和其他合规计划的要求，同时最大限度地降低“过度控制”的风险。 

实施专注于组织独特安全性的通用控制框架是减少组织运营中断的有效方法。将安全放在首位，并将以安全为中心的控制映射到合规性框架将帮助您遵守多项安全认证、标准和法规。大多数框架具有相同的基本安全原则，只是在您如何提供证据和您的审计员如何评估您的环境方面略有不同。

通用控制框架有助于指导您和您的审计员完成现有的合规性评估。这个中心框架还可以帮助您更轻松地确定与您将来可能探索的其他框架的任何差距。您可以根据现有标准对您当前的控制集进行分析，并避免为准备情况评估支付审计费用。此通用框架可帮助您更准确地查看当前状态，并允许您轻松适应和扩展到不同的安全认证和要求。

开箱即用，Hyperproof 为许多最常用的安全和隐私合规性框架提供了一组说明性控制，包括 NIST-CSF、PCI-DSS、ISO 27001和许多其他框架。这些控制与计划要求相关联，为许多组织提供了快速启动方法。

为什么数据合规性很重要？

当您的组织认真对待数据安全性和合规性时，您可以期望获得商业利益。一方面，您将能够向客户保证他们可以将他们的数据委托给您。获取SOC 2 类型 2 报告是解决客户对选择使用您的技术产品时所承担风险的担忧的常用方法。 

如果您今天想向企业销售产品或服务，能够通过 IT 审计（例如 SOC 2 评估）已成为一项重要任务。 

此外，认真对待安全合规性标准将帮助您的组织最大限度地降低因数据泄露而导致的声誉和财务损失风险。

最后但并非最不重要的一点是，当您花时间围绕公司如何处理敏感信息、确保个人隐私和响应安全事件建立和记录流程时，它可以帮助您的组织在环境发生变化和意外发生时保持弹性和敏捷性。 

随着业务的增长，重要的是要对业务的各个方面提出质疑并了解提议的决策（例如选择实施新的第三方软件、扩展到新的地区）可能会改变您的风险状况，以便您可以开发数据安全系统和流程以及政策来减轻这些风险的出现。  

为什么您应该努力超越既定的数据安全性和合规性标准

虽然向审计员证明您的组织符合特定标准（例如 SOC 2、HIPAA）很重要，但您必须记住，维护数据保护合规计划实际上是为了您的利益。采取严格的合规性方法可以帮助您显着降低危及客户数据、公司 IP 和业务运营的事件发生的可能性。采取严格的方法意味着您要持续评估风险、环境安全以及安全和隐私政策、程序和协议的有效性。   

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• Thales提前完成收购Imperva交易

• 数据安全的未来是什么

• BigID和Thales合作提供全面的数据保护和隐私合规性