法律团队一直在信息安全和合规计划中发挥重要的作用。律师们提供的专业知识补充了IT专业人员的技术知识,当这两者朝着共同目标合作时,可以帮助企业建立全面的IT风险管理计划。
在这篇文章中,我们将探讨在各种规模的企业中,法律团队可以为信息安全提供帮助的三个不同领域以及如何确保这两个团队成功地携手合作。
风险管理
法律部门经常发现自己被安排参与企业风险管理(ERM)计划中,这主要是因为两个原因:首先,他们通常了解企业各个领域面临的很多敏感风险;其次,很多企业风险都具有法律性质,需要律师的专业知识来协助解释法律和法规,以及评估违规时对企业的影响。
信息安全专业人员经常执行自己的风险评估,但显然,信息安全团队查找的风险与律师部门关注的风险非常不同。此外,安全驱动的风险评估往往在隔离环境进行,很少与IT部门之外的人进行共享,这是由于其很高的技术性质。
如果IT领导者能够弥合这种技术差距,并提供对信息安全风险的“外行”式评估,他们就可以与其法律团队合作将这些评估纳入到更广泛的ERM计划。每个大型企业都应该有ERM计划,以在企业范围收集风险数据来评估和缓解企业面临的风险。同时,信息安全风险(例如恶意软、伟大补丁的系统、政策违规等)和很多其他风险也应该被纳入到更广泛的风险管理工作中。
为了确保这种合作的实现,信息安全领导者应该伸出手与法律同行建立合作关系。而企业应该促进这两个团队对各个角度的风险进行讨论,这无疑会找到他们共同的兴趣领域以及方法让每个团队支持对方的目标,包括风险管理。这种合作方式将最终帮助确保企业的领导层清楚了解安全风险,并可能让他们分配更多资源来解决IT风险。
合规和事故响应
大多数法律团队最开始参与IT安全问题是为了向IT和职能团队提供帮助,以确保企业遵守安全法律和法规。支付卡行业数据安全标准(PCI DSS)、健康保险流通与责任法案(HIPAA),格雷姆 -里奇-比利雷法案(GLBA)和很多其他法规向IT企业提出了各种要求,而IT企业往往缺乏培训和经验来解释和适用复杂的法律及行业准则。
律师可以帮助IT团队清楚地了解哪些法规适用于企业及其适用范围。当法规出现歧义时,他们还能够提供有关所计划控制的可接受性的建议。信息安全团队应该毫不犹豫地找到法律团队来讨论如何解释和遵守合规要求。每个团队都需要一些练习来学习如何了解对方的语言,所以请记住,双方都需要有耐心。
当数据泄露事故或其他重大安全事故发生时,法律团队也发挥了重要作用。他们的专业知识可以帮助从法律的角度作出响应,并可以就数据泄露事故通知和响应向企业领导提供法律建议。因此,在事故发生之前,绝对有必要让法律团队参与事件响应规划中。这应该包括,在桌面演戏中,在模拟IT问题的同时,还应该考虑相关的法律问题。当事故真的发生时,也应该立即通知法律部门,并让他们参与迅速响应工作中。
合同审查
大多数企业已经在依靠其法律团队来审查IT合同(如果你没有,你应该这样做)。这项工作的自然延伸是要求法律团队确保合同中的安全语言可以充分保护企业的利益。这应该同时应用于与供应商和客户的合同,并且应该包括覆盖面问题,包括安全控制、审计、事故通知、赔偿等重要问题。
促进安全和法律团队合作的最佳途径之一是让他们合作开发一套解决这些问题的标准合同语言文档。这样的话,信息安全团队可以添加这种语言到其接收或制定的任何合同,确保可以自动解决关键的法律问题。当合同的另一方接受标准条款时,那么合同可以迅速获得批准。在另一方面,对标准条款提出的任何修改都需要法律和信息安全团队的深入审查。
作者:Mike Chapple
来源:51CTO
