A conformidade de segurança da informação reguladora e privacidade: hipaa, hitech, e sarbanes-oxley
Se você acha que poderia estar interessado em entrar no campo da segurança da informação, que você precisa para se familiarizar com os padrões de conformidade e privacidade reguladoras. Entre os muitos são HIPAA, HITECH, e Sarbanes-Oxley.
HIPAA e HITECH
Os profissionais de saúde, seguradoras, e a maioria das empresas sediadas nos EUA que oferecem benefícios de seguro de saúde são obrigados a cumprir com HIPAA (Health Insurance Portability e Accountability Act) e HITECH (Tecnologia da Informação em Saúde para Económico e Lei de Saúde Clínica).
HIPAA exige que as organizações que armazenam informações de saúde protegidas eletronicamente (EPHI) tomar certas medidas para proteger a confidencialidade, integridade e disponibilidade de EPHI. Organizações necessários para cumprir com HIPAA são conhecidos como entidades abrangidas.
HITECH expandiu o alcance de HIPAA, exigindo que as empresas associadas que armazenam ou processo EPHI para cumprir com HIPAA também. O termo parceiros de negócios significa qualquer organização que presta serviços a uma entidade coberta. HITECH também acrescentou novos requisitos de notificação de violação, garantindo que os cidadãos será notificado se a sua informação de saúde é inadequada divulgado ou comprometido.
Sarbanes-Oxley
A Lei Sarbanes-Oxley de 2002 é uma lei que foi aprovada como resultado de vários escândalos corporativos envolvendo falsificação de registros financeiros de empresas públicas. Muitas vezes conhecido como SarBox ou apenas SOX, esta lei teve um efeito significativo sobre os controles de segurança política de segurança e em US empresas de capital aberto.
Controles SOX
A principal consequência da SOX foi a promulgação de controles na seguinte funções de TI:
Política de segurança: Organizações são obrigados a ter uma política de segurança que é relevante, periodicamente revisto e aprovado pela Administração, e executadas.
gerenciamento de acesso: Organizações são obrigados a ter processos e ferramentas eficazes e maduros de gerenciamento de acesso, de modo que somente pessoas autorizadas tenham acesso a sistemas apropriados, papéis e funções.
gestão da mudança: Organizações são obrigados a estar no controle completo dos sistemas de TI e infra-estrutura que suporta seus sistemas financeiros, então eles devem ter um processo de gestão de mudança maduro que assegura que mudanças só aprovados podem ser feitas para os sistemas e que as mudanças não aprovadas serão detectados e corrigidos.
gerenciamento de incidentes: Organizações são obrigados a ter ferramentas e processos no lugar para detectar incidentes em tempo hábil e responder a incidentes de forma adequada e eficaz, resultando em resolução de incidentes, bem como uma compreensão completa da extensão de qualquer incidente.
gerenciamento de vulnerabilidade: Organizações são obrigados a ter ferramentas e processos para examinar periodicamente os sistemas de vulnerabilidades e corrigir essas vulnerabilidades em tempo útil e de forma eficaz.
O registro de eventos: Organizações são obrigados a ter ferramentas e processos no local para garantir que todos os eventos são registrados, e que essas gravações são arquivadas, para os sistemas dentro do escopo. revisão periódica - ou alerta automatizado - de eventos também é necessária.
Auditoria interna: Organizações são obrigados a assumir plenamente a propriedade do Estado e eficácia dos seus controles internos, incluindo auditorias internas periódicas desses controles e respostas eficazes para problemas encontrados no decurso das auditorias.
O contexto desses controles é o sistema de uma organização chave financeira, bem como sistemas de suporte e infra-estrutura. Quaisquer aplicações adicionais relacionadas com as receitas ou despesas podem também estar em escopo.
A intenção destes controles de TI é a prevenção ou detecção de qualquer adulteração dos registros financeiros que é realizado através da manipulação de sistemas de TI subjacentes e infra-estrutura.
auditorias
empresas públicas norte-americanos são obrigados a passar por uma auditoria financeira anual por uma empresa de auditoria EUA. Antes de SOX, a parte de TI de uma auditoria pública foi breve e superficial. Depois de SOX, IT auditorias são tipicamente completa e árdua, com muito mais atenção sobre as operações de TI para sistemas em escopo, infra-estrutura e pessoal.