Diskusija su Frédéricu Jesupret, „Allianz Partners“ informacijos saugumo pareigūnu
Kuriant ir atnaujinant naujus privatumo reglamentus, diskusijos apie privatumo valdymą didėja visame pasaulyje.
Getty
Nuo tada, kai PCI standartų saugumo taryba kovo 4.0 d. išleido PCI DSS 31 versiją, ji tapo pasaulinės mokėjimų ir atitikties pramonės diskusijų centru.
Kuriant ir atnaujinant naujus privatumo reglamentus, diskusijos apie privatumo valdymą didėja visame pasaulyje.
Neseniai kalbėjausi su Frédéricu Jesupret, Allianz Partners, Allianz Group pasaulinės pagalbos ir draudimo paslaugų dukterinės įmonės, informacijos saugumo pareigūnu apie pokyčius, susijusius su atitikimu PCI DSSv.4.0, pagrindinius tarptautinių taisyklių valdymo elementus, mokymus ir atitikties iššūkius.
PCI DSS v4.0 raida – kas naujo?
PCI DSS v4.0 pasirodė šiais metais su pasiūlymu perkelti atitiktį į naują lygį ir padidinti saugumą mokėjimų pramonėje. Tačiau įmonės turi pasiruošti įtraukti naują standartą į savo taikymo sritį.
Naujasis standartas leidžia įmonėms naudoti skirtingus saugumo reikalavimų vykdymo būdus.
Pasak Frédéric, iššūkis yra tas, kad įmonės turės prisitaikyti prie naujo standarto ir savo sistemoms keliamų reikalavimų. Tačiau jis priduria, kad PCI DSS v.4.0 bus svarbus žingsnis įmonėms, nes „naujasis standartas padės mums pagerinti atitiktį ir taip pat paruoš mus laikytis kitų galimų standartų ateityje“.
Daugelio sistemų ir tarptautinių taisyklių valdymas
Pasaulinės įmonės privalo laikytis vietinių ir tarptautinių privatumo ir duomenų apsaugos taisyklių. Dėl to valdymo procesas yra sudėtingas, ypač tuo metu, kai nacionalinės duomenų apsaugos taisyklės tampa vis griežtesnės.
Šiuo atžvilgiu Frédéric pataria:
- Laikykitės įmonės standartų, tokių kaip ISO27001.
- Paruoškite šablonus, kad padėtų vietiniams subjektams laikytis reikalavimų.
- Taikykite standartizuotą požiūrį į IT saugumą ir IT riziką, kad sukurtumėte standartines ataskaitas.
- Taikykite tą patį požiūrį į visų elementų valdymą.
Pagrindinis patarimas, kaip būti išsilavinusiam ir laikytis reikalavimų
CISO gali būti nemenkas iššūkis derėtis dėl kelių sistemų ir taisyklių.
Frédéric'ui žengti koja kojon su reikalavimų laikymusi yra „nesibaigianti istorija“, kurią reikia daug skaityti, tyrinėti internete ir naudoti vertingus informacijos kanalus, tokius kaip Vigitrust patariamoji taryba.
Be to, yra iššūkis laikytis reikalavimų. Kaip sako Frederikas, „turime sutelkti dėmesį į kasdienes užduotis, kad po kurio laiko pasiektume kitą atitikties etapą“.
Šaltinis: https://www.forbes.com/sites/forbesbooksauthors/2022/09/09/what-is-the-role-of-a-ciso-in-compliance/