经修订的DOJ合规性指南为网络安全领导者提供了风险管理课程

检察官使用此指南来评估违规行为中的刑事责任,因此,业务和安全主管应该理解期望。

cso信息安全策略风险管理写作策略,由metamorworks getty 2400x1600
Metamorworks /盖蒂图片社

2017年2月,美国司法部(DOJ)刑事司发布了有史以来的第一份指南,供白领犯罪检察官在评估公司是否遵守自己的法律时使用 风险管理 程序。该文件敦促检察官考虑公司的合规计划是否适当地“旨在检测最可能在特定公司的业务范围内发生的特定类型的不当行为”和“复杂的监管环境”。该指南于2019年4月更新为 正式文件 称为“企业合规计划评估”。

这两份文件旨在给检察官提起刑事指控时要考虑的标准。敦促检察官在评估合规计划是否有助于“促进有益于美国公众的公司行为”时回答三个基本问题:

  1. 该程序设计合理吗?
  2. 该程序是否有效实施?
  3. 合规计划是否在实践中起作用?

新更新鼓励动态合规计划

美国司法部在6月1日发布 另一个更新 遵守其合规指南 用新语言编织 确保合规性计划不仅是一劳永逸的快照,还可以是动态程序,可以根据不断变化的环境进行更新。新指南还要求检察官确保组织内部有足够的合规计划资源。

与前两个版本一样,司法部发布的最新指南几乎完全以组织风险评估工作的充分性为前提,该方法是众所周知的方法,尤其适用于网络安全专业人员。敦促检察官通过检查以下各项来评估组织风险评估计划的质量和有效性:

  1. 风险管理过程,尤其是用于识别,分析和解决组织面临的风险的方法
  2. 针对风险量身定制的资源分配,即组织是否投入足够的资源来管理风险
  3. 更新和修订,特别是是否对风险评估进行定期动态审查
  4. 汲取的教训,确定公司是否具有根据其经验来跟踪和协调其风险管理计划中的变更的流程

司法部还强调了基于风险的有关不当行为的培训和交流的重要性,这是其确定组织的合规计划是否可以解决的关键部分。最后,该指南强调了组织对合规计划的管理支持的重要性,以及对第三方提供商进行合规尽职调查的价值。

司法部关于网络安全的指南

尽管美国司法部的指南旨在帮助检察官对公司及其管理人员提起刑事诉讼,但它经常被用作司法部职权范围之外的蓝图。在涉及数据泄露和其他与安全相关的诉讼时,它与组织的网络安全实践特别相关。

“如果发生某种故障,涉及某种(刑事)起诉,例如数据丢失或类似的事情,那么该文档可能会开始评估他们如何设置和操作数据的有效性隐私和网络安全”,风险与合规软件公司NAVEX Global的首席风险与合规官Carrie Penman告诉CSO。

彭曼说:“但是,无论您是否站在司法部面前,它都会建立最佳实践,以考虑您如何看待风险以及如何减轻风险。”这在民事诉讼中至关重要。法院“想知道您的思维过程以及减轻这些风险的步骤,从而基本确定您是否已尽一切努力来避免这种情况的发生。这种评估是在民事案件中进行的(涉及到)因信息泄露而受到损害的一大批人或个人。”

Penman表示:“ DOJ这样做的原因之一是帮助合规官和安全团队以及那些担心贿赂和腐败的人们,以确保董事会和领导层对这些问题给予足够的重视,并为他们提供适当的资金以减轻风险,”说。

彭曼说,无论涉及民事诉讼还是刑事诉讼,DOJ提出的那种指导都会被所有组织的合规官员吞并,而在合规方面,网络安全是这些主管的首要考虑因素。 “我们即将发布约1,400名合规人员的调查结果。在该调查中,对风险合规性计划的最优先考虑或关注的是增强数据隐私以及网络安全和数据保护。”

网络安全合规性管理公司Cyber​​Saint的营销副总裁Alison Furneaux告诉CSO,在COVID-19危机下,合规性计划比以往任何时候都更为重要。 “攻击面已大大扩展。组织被迫进行创新。他们被迫执行以前没有的流程。他们被迫以更加精通的方式记录并准备审核。”

Furneaux表示:“要跟踪所有内容的可预测性要困难一些,这是因为这种观念转向了远程工作。” “有些员工正在使用自己的设备。您真的不知道他们家里有什么安全措施。所有这些都极大地增加了风险。”

网络安全需要风险心态

司法部提出的风险管理指南可能对网络安全主管有用。 “随着越来越多的网络安全领导者被要求进入董事会并向董事会介绍他们所做的事情,他们被迫超越风险思维方式中的合规思维方式,” Furneaux说。

在捍卫组织的风险管理流程时,意图至关重要,并且试图实施适当的(即使不是完美的)风险管理计划也至关重要。彭曼说:“罗马不是一天建成的,您的合规计划也不是。”期望合规官和网络安全人员展示的“是您正在不断地工作,而您是以风险为基础的资源运用方式。”

版权© 2020 IDG通讯,Inc.