CISO的工作可能包含许多相互竞争的优先事项，并且需要采取微妙的平衡措施。但是，有一个领域通常没有得到应有的关注：信息安全合规性治理。CISO职责的这一领域应得到比许多人更多的关注，并且它通常包含的内容超出了某些CISO所意识到的。

为什么我们需要重点关注网络安全的一个领域而不是另一个领域？这主要是优先事项。作为CISO，我们完全了解优先级工作和优先级任务，这些任务对业务需求和对组织成功至关重要的网络安全领域有重大影响。归根结底，我们对创建有效的网络安全计划的任务的管理水平与组织的成功直接相关。通常，这些常见因素在大多数组织中是众所周知的。并非总是众所周知的是，需要将信息安全合规性治理作为头等大事，这样做的好处。 

强调合规性

如果要根据将导致高额安全预算支出回报的方式来设置优先级，则合规性可能不是您首先想到的。以这种方式考虑您的优先级，无疑会得出这样的结论，即针对直接影响关联而查看的Infosec Compliance Governance很少匹配，特别是如果您查看由于未授权访问或信息系统漏洞导致的信息和数据丢失的发生率。但是，金钱投资回报率并不是首席信息安全官应该考虑的重点。

当您考虑哪些因素将对您的组织产生最大的影响，以及哪些因素最终将帮助您创建最安全的环境时，您会更容易理解为什么重视合规性至关重要。更具体地说，为组织开发的网络安全计划中的信息安全合规性治理值得我们投入大量时间和精力。许多领域都对优先级给予了高度考虑，但是通常可以忽略合规性，而不将其视为当前的头五个优先事项。 

对合规性的关注如何影响CISO的其他职责

幸运的是，对于繁忙的CISO，我们的许多职责得益于对信息安全标准的关注。例如，在COVID-19大流行期间，随着越来越多的人开始在家工作，访问控制和身份管理可能在许多CISO头脑中占据优先地位。尽管这些项目绝对是CISO的重要重点领域，但成功的访问控制和身份管理通常是精心计划和完善制定的合规计划的一部分。毕竟，最终目标是保护我们组织的信息，对吧？

Infosec与合规性通常紧密相关。如果我们进行流程验证和合规性框架实施，并将其与保护和保护组织信息的概念和准则相结合，我们将获得Infosec合规性。 

为了指导“ Infosec合规性”，我们需要了解我们如何做到这一点以及在我们组织的网络安全计划中确保其最佳方法。我们通常通过完善的，经过深思熟虑的政策来定义这些方法；本质上非常详细和描述性的政策。如果我们采用该策略概念并将其应用于Infosec Compliance，则本质上就是InfoInfo Compliance Governance的想法。

最终，我们必须使用完善的已定义保护机制来管理组织的敏感信息，该机制的重点在于合规性，从而为其提供了坚固的框架。 

关注合规性是什么样的？

信息安全计划的重要组成部分涉及识别和认证组织内处理，存储和传输我们存储并可以访问的不同类型数据的系统。然后，可以为这些系统开发适当的安全控制措施，以满足法规遵从性要求。专注于合规性只会给CISO带来真正的好处，并且是更好地组织信息安全工作的一种方式。

尽管合规性实施在系统的整个生命周期中都保持一致，但是管理数据的法规甚至准则可能会以更加不一致的速度发生变化。例如，网络安全要求及其管理控制可以根据发布机构（例如NIST，ISO等）或多或少地更改其指导。

CISO必须全面了解组织可以访问并交付给员工或客户的各种数据。需要对这些分类和跟踪系统，其数据存储和处理分类需求以及不同数据的敏感度级别之间的特定要求变化进行非常刻意和严格的控制。InfoSec定义了实现数据和信息保护的方法。 

法规遵从性创造了将系统映射到法规认证框架的能力。治理允许定义的，可重复的过程来确保资产跟踪，数据跟踪以及组织内信息安全需求的合规性匹配。

当我们考虑到信息安全合规性治理的所有内容时，我们必须记住，作为CISO，我们最终应对该程序的成功或失败负责。因此，我们必须知道需要什么策略，我们必须多久更新一次策略，以及我们如何发布更改和更新以满足系统的认证和证明时间表。对于这一发展至关重要的是，我们对组织的整体业务战略的理解的水平和程度。如果我们不了解，我们将不了解如何适当地应用这些政策，确定正确的合规性框架，更重要的是，找出必须针对最终保护的信息采取哪些具体的网络安全控制措施。我们知道为什么这些事情都是至关重要的。但是，我们应该有目的地对其进行描述。

我们将所有这些事情联系在一起，了解业务战略并将其应用于我们的Infosec合规性治理，其主要原因之一是：风险管理。 

风险管理的重要性

从根本上讲，网络安全与安全风险的管理有关。如果应用得当，可以从对组织内部信息安全合规性治理的关注中得出一些简单的信息：我们能够将我们的合规性框架直接映射到用于处理，存储和传输组织信息的系统。要保护这些信息，我们需要按照infosec指南定义正确的数据分类和特定的控制要求。我们需要制定并提供明确的政策指导，指导如何进行实施和管理以保护系统及其信息。最后，我们需要知道丢失，破坏或未经授权披露信息的后果。 

那么，如果我们不应用适当的，经过深思熟虑的信息安全合规性治理，将会带来什么安全隐患？我们冒着无法创建故意，特定，可重复且所有与敏感信息进行交互的人都很好理解的风险管理和信息安全流程的风险。我们无法根据组织的风险承受能力对负责组织的信息的实施，认证，确认和证明的责任人负责。

我们如何补救Infosec合规性要求中的弱点？只有当我们真正了解风险，风险对业务的影响以及安全性如何适合我们组织的整体业务战略时，才能做到这一点。我们还可以使用该总体业务策略直接为整个网络安全计划确定和支持信息安全合规性治理选择。您如何确定优先次序以及优先次序将直接影响您的成败。Infosec目标需要采取有计划的行动顺序，以确保清楚地理解和认可对程序的影响。 

为什么CISO推动合规重点很重要

CISO必须自上而下地开发和推动网络安全实践。他们负有确保全面，全面的安全策略的最终责任。不幸的是，并非每个组织都愿意采用需要大量时间或金钱投入的CISO战略。为了克服这个问题，CISO必须优先考虑那些影响最大的计划，这些计划将直接为组织带来有利的投资回报。 

CISO的职责不是不惜一切代价保护信息，而是利用获得的资源来保护信息。这些与预算相关的成本通常由公司高管和董事会决定。 

任何组织内CISO的安全实施策略和指导输入都可占组织整体业务策略的近90％。如果我们考虑并了解哪些流程和程序可以对整个组织产生最大的影响，那么将Infosec合规性治理列为满足该需求所需的前五项程序之一就不会费劲。

与您的信息安全合规性治理程序相比，很少有网络安全程序可以接触更多的系统或对业务和安全策略产生更大的影响。很少有与识别和理解信息系统及其所包含，处理和传输的数据所面临的风险具有如此显着的直接关联。请记住，三个重要功能组合在一起以开发Infosec Compliance治理程序：

• 首先，遵从性直接告知风险。

• 其次，治理直接决定着政策的制定。

• 第三，从定义上讲，infosec是安全性的关键。 

我们在本文的开头提到，CISO的最终工作是确保保护组织的内部数据，客户数据以及任何其他对组织至关重要的敏感信息。有什么比优先安排信息安全合规性治理计划的开发和实施更好的方法来满足该核心工作职能的？ 

可以就该程序应放在所需安全策略，实施和开发计划的总体清单上的哪个位置提出几个论据。但是，我会挑战那些认为优先级较低的人，以提供合理的论据，因为它不属于CISO网络安全计划列表中前十大优先级中的前五名。我什至更进一步地说，如果您个人认为它不是一个较低的优先事项，请仔细查看排名在其上方的程序，并确定这些程序是否可以归入Infosec合规性治理的总体框架；您可能会对发现的结果感到惊讶。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• BigID和Thales合作提供全面的数据保护和隐私合规性

• PCI DSS 4.0 合规性已迫在眉睫

• 针对GDPR合规性的加密