公益译文 | 安全意识专题系列2:企业如何做到安全意识合规

现今,信息安全至关重要,必须保护敏感信息免遭内部和外部威胁入侵。目前,随着攻击者发起的攻击越来越复杂,影响各行业企业,威胁数量与日俱增。为帮助这些公司防御攻击、缓解风险,保障敏感客户、客户和患者相关数据的安全,各行业的企业目前正努力达到安全意识合规需求。有些需求在政府法规中明确规定,而有些则由行业监管机构或特殊利益群体规定。

安全意识合规需求:了解监管法规

相关阅读:

公益译文 | 安全意识专题系列1:网络攻击发展简史 企业如何培养员工安全意识


对于公司负责人和决策者以及信息安全专业人士和全体员工来说,安全意识至关重要,每个员工均需了解从总体风险缓解到如何避免网络钓鱼骗局的相关信息。本文介绍与当今组织和企业息息相关的安全意识合规需求。
请注意本文仅涉及员工安全意识合规需求。员工不一定要了解组织为遵循全面安全规定需要采取的措施。

HIPAA

实际上,《健康保险隐私及责任法案》(HIPAA)适用于医疗保健行业的所有企业和组织及其合作伙伴,即使这些合作伙伴从严格意义上说与医疗保健行业并无多大相关性。
例如,存储患者信息的数据交换中心应与医院或诊所一样遵循HIPAA 规定的安全意识合规需求。要符合HIPAA 涉及的安全意识合规需求,组织仅需实现面向全体员工的安全意识和培训计划,即采取以下措施:
• 实现安全入侵检测或防御的特定规程。
• 分析风险,确定潜在漏洞。
• 确保采取充分的安全措施,降低风险。
• 制定处罚条例,对不遵守相关政策和规程的员工采取惩罚措施。
• 确保定期审查信息系统活动记录。


这意味着什么?简言之,组织或企业必须落实健全的安全意识和培训计划,每位员工必须参加培训,高管和其他管理人员也不例外。

PCI-DSS

企业或组织可刷信用卡吗?如果可以,则需遵循支付卡行业数据安全标准《PCI-DSS》。该标准制定的目的是保护客户的财务信息,以防信息在财务交易、财务记录存储及其他情况下遭遇外泄。
PCI-DSS 规定的安全意识合规需求具体来说就是要开展安全培训,确保每位员工了解保护持卡人信息的重要性。培训可通过各种方式开展,如会议、宣传,甚至是张贴海报。员工需书面签名,确认阅读和了解公司的安全政策和规程。
显然,要想满足这些安全意识合规需求,公司或组织需制定一套安全政策和规程,并且开展某种形式的培训,强调保护持卡人信息和财务数据免遭当前各种威胁的重要性。

GLBA

《格雷姆- 里奇- 比利雷法案》(GLBA)即1999 年实施的《金融服务法现代化法案》。该法案涉及金融服务的方方面面,其中金融隐私是其中一个突出重点。该法案的合规需求规定了信息安全系统设计与实施、员工培训与管理、威胁和风险检测等多个范畴。此外,该法案还规定承包商也应提供类似安全保障,定期评估和调整信息安全计划。
不难看出,组织除了制定相关标准,还应创建培训计划,让员工了解如何保护相关记录和财务信息的安全,确保机密性,以及如何发现和防御威胁和风险(如未经授权的数据访问和使用)。

FISMA

《联邦信息安全管理法案》(FISMA)适用于每个联邦机构、承包商以及与之有业务往来的其他合作伙伴。FISMA 涉及的安全意识合规需求规定需开展安全意识培训,确保包括承包商和有可能接触到敏感数据的每个人均了解最佳实践以及安全策略和规程。再次强调一下,实现这些需求的核心是创建培训计划,确保全体员工(包括承包商以及能接触到信息的其他人)不仅参加培训,还要充分理解培训材料,遵从信息保护相关的最佳实践和措施。

NIST 800-53

国家标准与技术研究院(NIST)发布了800-53,着重阐述了如何为联邦政府的信息系统和组织实现信息安全需求。这些需求在NIST 的特别刊物800-53(Rev. 4)AU-1 中明确规定,具体内容如下:
“组织应进行如下操作:
1. 制定以下策略和规程,形成文档,并进行宣传[ 工作;组织指定专人或特定角色负责
2. 安全意识与培训策略:明确目的、范围、角色、职责、管理层承诺、组织实体之间的协调以及合规。
3. 便于实现安全意识与培训策略和相关的安全意识和培训措施的规程。
4. 审核并更新现有策略和规程:
5. 安全意识与培训策略[ 工作:组织明确审核和更新频率]
6. 安全意识与培训规程[ 工作:组织明确审核和更新频率]”
再次强调一下,除了制定安全策略和规程,组织还要确保每个相关人员均接受培训,充分理解这些策略、规程、角色和职责。

ISO/IEC 27002

ISO/IEC 27002 由国际标准化组织和国际电工委员会联合发布,明确了适用于信息安全管理系统的标准。该出版物规定了安全意识合规需求,具体如下所示:
“为切合工作需要,组织的全体员工以及所有相关承包商和第三方用户均应接受适当的安全意识培训,及时了解组织策略和规程的定期更新。”
可见,这再次证实了实现安全意识合规需求重点是要为员工和与企业或组织有业务往来的其他人提供安全意识培训。

理解合规概念

为切实了解实现安全意识合规需求涉及的相关义务,我们需深入学习合规概念。实现安全意识需求对于企业或组织到底意味着什么?

简言之,全体员工、承包商,有时甚至是厂商采取的行动需与该安全意识合规需求规定的义务相符。若某个员工的行动不合理、无视合规规则或以其他方式违反安全法规会导致整个组织不合规。尽管有些员工自认为采取的行为符合企业最大化利益或是为了保护客户,但若其行为与安全意识合规需求相左,也会导致组织不合规。
接下来,让我们看一个PCI-DSS 合规例子:

在一家商店,一名零售工人正在收银。此时,销售终端(POS)系统不知为何发生了故障,导致无法通过电子方式处理信用卡业务。为了继续提供客户服务,这名员工决定人工处理信用卡支付,记下客户姓名、信用卡号、有效期限以及支付价款,然后将这些信息暂时存放在收银机旁边的笔记本中(我们不建议这样做)。他们原打算一旦POS 系统恢复就手动执行这些交易,然后一切万事大吉。
问题是,该员工完全违反了PCI-DSS 需求明确的规则。该员工的行为不仅与相关需求不符,而且导致整个零售业不合规。更何况一旦该店客户的信用卡信息泄露,落入不法分子手中,会造成安全威胁。

让我们再看一个医疗保险行业的类似例子。

一家保险公司的内网出了故障,导致网络中断。随即IT 员工关闭了防火墙,开始排查故障。该IT 员工能够在不到30 分钟的时间内定位网络问题、进行修复,并重新开启防火墙。最终,网络正常运行。这个例子中存在的问题是IT 员工的行为致使这家保险公司违反了HIPAA 规定。


实现安全意识合规需求

我们在前面提及的各法案和规定涉及的各种安全意识合规需求无一例外地强调安全意识培训。所有这些规定均明确一份正式需求,即各行业的组织和企业应制定安全意识计划。那么,如何创建安全意识计划? 由于每个组织所遵循的法规对安全意识合规需求做了不同规定(至少在一定程度上如此),因此安全意识计划应符合组织的实际情况,不能一概而论。然而,不同的安全意识计划也存在某些共同之处。人为因素――风险无处不在,在详细介绍如何创建安全意识培训计划之前,让我们先看一下为何人为(员工、承包商等)因素是要考虑的首要因素。难道不需要关注其他因素了吗,如内部网络的基础设施、部署合适的软件安全保障措施,并采取适当的物理安全防护措施。一句话,这些方面都需要关注。然而,我们应意识到,在任何安全形势下,人类都是安全防护的最薄弱环节。简言之,人们往往无法识别特定行动带来的安全隐患。这也是网
络钓鱼攻击和鱼叉式钓鱼攻击为何如此肆虐的原因之一。由于点击邮件中的链接或下载附件均可带来安全隐患且此类风险不易觉察,因此人们很容易中招攻击。
若站在悬崖边上或行走在有野兽出没的地方,大多数人均会小心谨慎。事实上,我们在这些情况下往往高估了安全风险。然而,在安全风险不易觉察的情况下,我们却放松了警惕。再说,点击链接看似不存在任何危险,因此我们会想当然地认为此类操作相对安全。

根据HIPAA 规定,我需要提供哪些安全培训?
患者健康记录受到网络罪犯分子的高度追捧,因为他们可以通过各种方式利用这些记录。在“暗网”上,被盗的医疗数据售价比信用卡数据高出10 至20 倍。绝症患者、死者、患者的医疗记录都是骗子们的摇钱树,因为这些患者通常不会意识到自己的身份可能已被窃取。卫生保健组织受到持续威胁,1996 年出台的《健康保险隐私及责任法案》(HIPAA)旨在加强患者信息的保密性及患者隐私权。
首先,我们先了解一下,若公司不提供HIPAA 规定的培训,可能会遭受怎样的损失?
然后,我们重新温习一下该法案中规定的组织相关培训要求。虽然有时法案内容看似很模糊( 例如,法案中从未提到“防火墙”一词,而提到了必须“落实技术安全措施,防止未经授权的访问…”),很明显,由于医疗组织的个人数据遭遇入侵,政府对攻击方严惩不贷。您可以在网站上了解过去一年内对各类HIPAA 违规行为的处罚。若从事医疗服务行业,您的组织可能有充分的安全保障,一流的医疗服务,但美中不足的是可能缺乏精通HIPAA的复杂规定的全职人员。安全意识培训和专家级顾问可以弥补这一点。
HSS“耻辱堂”能够让您了解HIPAA 违规行为有多普遍。阅读下面这份清单,您就会了解风险评估对组织的重要性、应该哪些方面开展风险评估,以及员工安全意识培训之所以非常重要的原因。

何为HIPAA ?

HIPAA 是美国制定的一部保障医疗数据隐私和安全的法案。HIPAA 要求美国卫生和公众服务部(HHS)制定保护某些医疗信息的隐私和安全条款。HIPAA 法案适用于所谓的“覆盖群体”:医疗保健提供商、健康计划和健康保健所。还要求与HIPAA 商业伙伴合作的相关实体签署合同,保护商业伙伴使用或披露的任何个人健康信息(PHI)。比如,商业伙伴可能是与相关实体合作的会计或咨询公司,如医院或医生,或任何可以通过组织访问PHI 的其他组织。
PHI 包括患者的个人详细信息,如姓名、住址、出生日期和社保号,以及健康状况和相关治疗。就业记录或教育信息被认为不属于PHI 范畴,这些信息可能在其他法案(如《家庭教育权和隐私权法案》)中有所涉及。注意:这些信息可能是员工需要了解的。但是,然而,对于电子数据包含PHI 有的公司将HIPAA 视为一项沉重负担,而有的公司则视其为一种有用的工具,有助于实现安全数据合规和潜在的诉讼事件。

违规损失

违规损失包括:可能遭遇集体诉讼、HHS 罚款、在新闻中被点名批评和丢脸,或上HHS“耻辱墙”名单。
罚款: 最近的一次HIPAA 案件和解涉及Metro Community Provider Network(MCPN)。MCPN 是美国科罗拉多州一家有联邦资质的医疗健康中心。据报道,为了处理HIPPA 违规问题,该健康中心将支付40 万美元并实施纠正行动计划。该重大事件是由网络钓鱼攻击造成的,黑客成功访问了3000 多人的个人邮箱账户及其电子保护健康信息(ePHI)。此事件和解的出发点是因为MCPN 未能充分保护用户信息。虽然攻击发生在2011 年12 月,但直到2012 年2 月,MCPN 才对事件进行适当的风险分析。令人有点儿不可思议的是,该公司在事件发生之前也并未进行风险分析。
对MCPN 而言,或许法案遵守的负担不那么沉重。
集体诉讼:2016 年,Advocate Health Care 同意支付555 万美元,作为对过去三年里多次数据保护违规行为的补偿,这是HHS 收到的迄今为止最大数额的HIPAA 和解金额。
实际上,很多其他医疗组织也同样被这一问题困扰,Advocate Health Care 当时面临很多起集体诉讼。
信任缺失:2015 年,三S 管理公司案件(支付和解金额350 万美元)也是因为多个子公司多起大范围的违规行为造成的。其中一项值得注意的违规行为是与两名前雇员有关。
公司在他们离职时,未及时终止其受限的数据库访问权限,导致他们在跳槽至竞争对手公司后,访问了网上的独立行医协会(IPA)数据库,该数据存储会员诊断信息和治疗方案。这可就尴尬了!

根据HHS 规定,达到HIPAA 合规性需要完成以下七个基本步骤:
1. 执行书面策略、规程和行为准则。
2. 指定合规官和合规委员会。
3. 实行有效的培训和教育。
4. 建立有效沟通渠道。
5. 实行内部监控和审计。
6. 大力宣传纪律准则,落实行为规范。
7. 快速响应检测到的攻击并采取纠正措施。
只有开展风险分析,您才能真正评估安全脆弱性,并知晓应采取哪些必要防护措施。
一旦遭遇入侵,您的首要任务就是提供安全风险分析。风险分析是一项预防措施,可确保必需的安全措施准备就绪。从长远来看,这是可以省钱的。在这一点上,您可以开始按照角色确定员工培训需求。
培训内容因角色而异,但所有员工都应了解以下基础知识:
• HIPAA 简介
• 合规性报告流程
• 患者权利
• 组织隐私和安全策略
虽然您的组织可能未指派内部人员来管理所有HIPAA 培训,很多组织可协助提供与特定角色相关的HIPAA 培训,如:
• 记录处理
• 部门安全规程
• 联邦法律和国家法律
• 员工访问权限
• 商务伙伴协议
组织中哪些人需要HIPAA 培训?
所有接触PHI 的员工都必须接受HIPAA 培训,包括医生、牙医、护士、心理咨询师、人力资源专员、接待员、兼职员工/ 实习生、网络管理员和安全人员,以及研究人员。
若您的商业伙伴、供应商或合作伙伴接触了PHI,他们也需要接受适当培训。HIPAA培训适用于所有员工,包括管理人员、志愿者、实习生,以及所有外包人员。
除此以外,还有:
• 新员工入职后,必须在适当时间内接受培训;
• 当策略或规程变化影响到员工工作时,必须对员工进行再培训;
• 还要进行定期重温培训。
所有HIPAA 培训都输出相关文档。HIPAA 培训可通过以下方式实现:
• 培训课程签到表;
• 签署接受培训的保密声明;
• 计算机辅助培训或测试结果。
HIPAA 隐私和安全规定培训的要求有哪些?
关于隐私和安全规则,存在一些混淆。隐私规则指的是(各种形式的PHI 保密性保护要求),包括口头形式。例如,与朋友讨论时提及患者姓名,这是对患者隐私的侵犯。安全规定特别关注的是保护电子PHI 的机密性(即隐私性)、完整性和可用性。
健康安全解决方案(Health Security Solutions) 的创始人兼首席安全官SteveSpearman 在Manage My Practice 网站访谈中举了一个很好的例子:“传统的传真机通常被认为是一种模拟设备。”因此,如如果一位医护人员将手头的一份患者信息表通过电话线发传真给另外一位医护人员,就违反了隐私规定。然而,若一位医护人员将文档通过传统传真机发送给另一名医护人员的传真服务器或传真服务(如eFax), 则接收端收到的是经过数字处理的数据。由于数据已经过数字化处理,则第二位医务人员收到的传真受安全规定的保护。”

附件下载

 

发表评论