您当前的位置:   首页 > 新闻中心
2021年安全保障状况与2022年展望
发布时间:2022-01-05 10:22:22   阅读次数:

image.png

虽然安全与合规行业每年都会发生如此多的事情,但如果我们要在 2021 年选择一个主题来强调,那就是:对组织的网络卫生及其合规计划成熟度的期望越来越高。在公司和政府机构多年来遭受无数毁灭性攻击之后——包括今年对国家关键基础设施部门的重大袭击(例如,石油管道、金融、食品和运输部门都受到影响),组织终于开始加强自己的网络防御及其对供应商和供应商的监督。


供应链风险管理要求的最新法规

在过去几年中,供应链风险管理需要成为程序化(相对于临时)的概念已经进入了许多法规和行业标准。这里只是一些比较突出的法规和标准组织应该注意的。 


欧盟通用数据保护条例(GDPR

GDPR的范围包括所有收集、存储或处理居住在欧盟境内的任何人的个人数据的欧盟组织,以及任何向欧洲居民或处理这些数据的非欧盟组织提供商品和服务的非欧盟组织。个人身份数据。欧盟希望全世界的数据处理商——包括托管服务提供商 (MSP) 和 SaaS 提供商——都遵守 GDPR 法规。利用非欧盟数据处理器的欧盟组织(数据控制者)必须确保其数据处理供应商遵循 GDPR 准则。 


根据 GDPR 指南,数据处理者有责任以确保所有个人数据安全的方式保护数据,包括防止未经授权或非法处理,以及防止意外丢失和损坏。必须采取行政、物理和技术保障措施,因为欧盟法律对数据控制者和数据处理者规定了同等的责任。 


加州消费者隐私权法案 (CPRA) 

CPRA 将于 2023 年 1 月 1 日全面生效,它对数据处理者(代表另一家公司处理个人数据的人)提出了一套与 GDPR 类似的要求。它要求收集数据的组织(例如,任何拥有居住在加利福尼亚州的消费者的公司)要求其服务提供商以确保所有个人数据安全的方式保护数据。 


NIST SP 800-53,信息系统和组织的安全和隐私控制

任何处理联邦信息的组织都需要实施NIST SP 800-53 控制并证明其合规性状态,以维持与政府客户的关系。NIST SP 800-53 于 2020 年 9 月进行了重大更新。它在供应链风险管理中添加了一个新的控制系列,用清晰的语言表明 NIST 希望组织将风险置于供应链管理的核心。这个控件系列强调了几个关键点: 

  • 所有机构和承包商都必须有正式的风险政策和程序来识别和管理供应链风险。 

  • 所有机构和承包商都需要了解他们使用的系统的来源和组成部分,以确保上游的变化得到评估和记录 

  • 所有代理机构和承包商都必须根据已识别的风险以及商定的合同或条款和条件对供应商进行评估。 

  • 所有机构和承包商必须确定与敏感操作和系统相关的关键供应链信息;识别安全控制措施以应对与运营和系统相关的第三方风险。 

  • 第三方协议或合同应明确强调第三方应遵守的任何与隐私相关的控制措施,作为系统和服务供应开发的一部分。 

  • 必须建立通知协议,以确保第三方知道何时以及如何在出现问题时向组织发出警报。   


换句话说,NIST 表示,如果您的公司被视为政府承包商的“供应商”,您将需要实施客户希望您拥有的安全控制,并证明您在与客户的合同协议中拥有这些控制。如果您在自己的应用程序中使用第三方组件,则需要评估使用该第三方组件所带来的风险,并验证第三方是否有足够的数据保护措施来抵消风险。 


CMMC 2.0

该(CMMC)程序网络安全成熟度模型认证是在2020年由美国国防部创建,以确认所有企业在国防工业基础,这两个承包商和分包商,在具备足够的安全和隐私保障措施,以保护联邦信息(具体而言,控制未分类的信息)在他们的照顾范围内。原始版本设置了五个级别,并要求所有承包商和分包商——无论他们是否处理敏感数据——都要通过第三方认证评估来验证他们的安全控制和合规状况。 


2021 年 11 月,美国国防部将该计划 (CMMC 2.0) 修改为三个级别,并取消了对级别 1 中不处理受控非机密信息的公司的第三方认证要求。但是,所有 1 级公司(主要是小型企业)都必须进行年度自我评估,并且公司高管或高管需要确认年度自我评估中提供的答案是准确和完整的。 


为确保没有人在其安全自我评估中提出虚假声明,司法部有权调查据称根据《虚假声明法》(FCA) 对其网络安全实践提交“虚假声明”的政府承包商。司法部可以对被判有罪的实体和个人处以巨额罚款。 


美国司法部表示,以下类型的情况可能会触发对组织或个人的调查: 

  • 故意提供有缺陷的网络安全产品或服务

  • 故意歪曲他们的网络安全实践或协议

  • 故意违反监控和报告网络安全事件和漏洞的义务 


根据 FCA,当某人 1) 实际了解信息,2) 故意无视信息的真实性或虚假性,或 3) 对信息鲁莽行事时,该人会在知情的情况下采取行动。此外,此人无需有任何特定意图来欺骗政府。因此,由于它涉及 CMMC 2.0 的自我评估确认,如果确认不正确,DIB 公司可能会根据 FCA 承担责任,即使其领导层无意欺骗政府并且不实际知道其肯定是错误的。DIB 公司可能会因未能在确认之前对其网络安全实践和程序进行充分的尽职调查而被认定为“鲁莽无视事实”。这使公司受到损害赔偿和金钱处罚。 


以下是所有这些规定的关键要点:

如果组织未能充分关注其合规计划(包括未能对自身及其第三方的网络安全实践和程序进行充分的尽职调查),则可能会失去客户并面临重大的法律责任。根据某些法规(如 CMMC 2.0),监督公司运营的高管也可能面临个人责任。 


2022 年的挑战:在持续保障模式下运营 

为了减少这种潜在的责任,组织必须充分了解他们被要求满足的要求并实施必要的控制来满足这些法律和合同要求。组织应不断测试其控制措施并收集证据,以向客户(和监管机构)表明他们在整个合同期限内都履行了合同义务。 


除了减轻法律风险外,持续审查和管理控制措施对于保持弹性至关重要。网络攻击方案正在迅速发展。日常业务决策可能会引入新的安全和合规风险,例如员工何时开始使用新的云服务来提高运营效率,或者部门决定推出新产品时。   


在这个交汇点,组织必须迎接新的挑战。他们需要建立在持续保证模式下运营所需的能力。这包括找到一种方法来扩展实施控制的活动——为满足法律要求、降低安全和隐私风险以及提高运营效率而开展的活动。组织将需要采用结构化、可重复、持续的方法来培训合适的人员进行控制、分配控制的所有权、评估控制的合规性以及弥补差距。 


为了在持续保证模式中成功运营,组织需要使用技术来集中管理其合规计划,并将运营控制的责任分配给多个业务职能部门的人员。技术将使人们能够正确、准时、高效地执行控制活动,从而使保障工作成为业务推动者,而不是过多地减慢业务速度。这种持续保证模式与过去以审计为中心的模型大不相同,在过去的模型中,组织依靠时间点审计来衡量其安全状况并确定需要采取哪些补救措施。那些接受以持续保证模式运营的挑战的组织将是客户信任和喜爱的组织。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609