5通常被误解的法规遵循条款

了解而言是至关重要,因为合规的复杂性,并分析了最佳的技术解决方案时,合规管理作为一个整体将帮助你

思想库

尽管供应商编写的,这种贡献一块不提倡的位置是特别的,作者的雇主,已经被编辑和网络世界的编辑批准。有个足球雷竞技app

在合规性和治理的世界里,诸如认证,合规和验证具有被经常错误地交替使用不同的含义。关键是要理解术语本身以及它们是如何在行业中使用,所以这里有一个方便的指南。

认证和保证 - - 决定哪个审计准则满足程度之前,我们深入到具体类型的凭据,是要明白,有一些初步审计期间发生的两个基本过程是非常重要的。进行这些程序可以帮助企业满足第三方风险管理和法规遵从要求,并提供了验证组织的控制环境的完整性信息传递给客户和其他利益相关者。把它简单地说,把它想建议,或表现出的东西是真实的证据信:

*认证。当审核员确认你的说法是真实的,他们会签署一份认证文件,以此威胁到他们组织的声誉。在进行验证的过程中,他们直接回顾了过程,检查了产品代码,并尽其所能挖掘了认证要求的证据。例如,ISO-27001、soc2和FIPS等审计被认为是认证。

*保证。这是当审计师根据该公司提供的审计证据审查了公司的流程或产品。虽然这可能看起来类似于表面上的证明,事实并非如此。这是因为如果审计师是说,“要尽我们的能力,并根据该公司提供的证据,我们能保证他们遵循正确的指导方针。”一个很好的例子是HIPAA或ISAE-3000 - 这两者都被称为II型保证。术语“II型”指的是过程,例如,HIPAA和ISAE-3000是由审计员在6个月期间审查了审计的长度。

现在我们已经介绍了一些基础知识,让我们来探讨一下常见遵从条款之间的差异:

*兼容。为了符合规定,企业必须调整其进程和控制与监管的要求。我公司Druva,例如,是根据毕马威会计师事务所进行了为期6个月的保证审计,我们提供的证据并得出结论,我们的工艺和控制符合HIPAA的准则审计HIPAA标准。

另一种方式,组织可以使合规性是进行自己的处理和控制的评估,并与需求和意图调控的对齐。以合规为ITAR,例如。

*认证。在认证的基础上,认证有一个正式的流程,要求管理机构对公司的流程、控制和产品进行审核,然后才能正式获得证书并获得“认证”。例如,安全港(当它存在时)有自己的官方认证流程。但并不是所有的法规都有一个认证过程。HIPAA是一个组织只能符合HIPAA,而不能通过HIPAA认证的例子。

*验证。除了与要求外,一些法规走得更远了一步,需要认证的组件的真实性验证。FIPS 140-2认证是一个这样的规定,需要进行认证的加密模块验证。在基本的英语,这意味着加密模块或库中的代码已经通过审查,由美国政府认可。

当组织获取这些模块用于其产品时,它们是预编译的,这意味着不能更改加密代码,因为它们带有标识指纹,可以确保模块的完整性。一旦将这些模块集成到产品中,就会有一个被认可审计FIPS模块的外部第三方对实现进行审计,并通过指纹验证真实性。通过审核后,第三方实体将撰写认证函并签字,声明公司的FIPS实施符合FIPS加密标准。

理解这些通用术语可以更好地帮助您应对合规规则日益复杂的问题,因为它们与您的组织和行业有关。此外,它还可以作为实现最佳技术解决方案的指南,以帮助您管理遵从性并保护整个组织。请记住,合规条款可能因国家和环境而异,比如最近的GDPR法规,因此了解您所在的每个国家的监管合规要求非常重要。

帕克在影响产品在企业技术空间超过20年的经验,主要集中在信息管理和治理的区域。在Druva,他所领导的产品营销,作为产品的定义和方向的一个组成部分。

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对那些顶级心态的话题发表评论。

版权所有©2016Raybet2

IT薪资调查:结果是