法规遵从性基准是帮助组织衡量和评估其符合适用法律、法规和行业标准的合规性水平的标准或准则。

健康保险携带和责任法案 (HIPAA)

健康保险携带和责任法案 (HIPAA) 是一项于 1996 年颁布的美国联邦法律。HIPAA 制定了标准和法规,以保护医疗保健行业个人健康信息 (PHI) 和电子健康记录 (EHR) 的隐私、安全和保密性。

HIPAA 隐私规则和安全规则是 HIPAA 标准的两个关键组成部分:
  • HIPAA 隐私规则:隐私规则在相关实体(包括医疗保健提供商、健康计划和医疗保健信息交换所)使用和披露 PHI 方面设定了标准。它向个人授予对其健康信息的某些权利,如访问权、请求修改权和获得会计信息披露权。相关实体必须实施保护 PHI 的安全措施,向患者提供有关隐私做法的通知,并获取 PHI 的某些使用和披露的书面授权。
  • HIPAA 安全规则:安全规则在保护电子 PHI (ePHI) 方面制定了安全标准。它要求相关实体及其业务伙伴实施管理、物理和技术安全措施,以确保 ePHI 的保密性、完整性和可用性。这些安全措施包括风险评估、访问控制、加密、审核控制、灾难恢复计划以及员工安全意识培训。

HIPAA 标准适用于医疗保健提供商、健康计划、医疗保健信息交换所及其处理 PHI 或 ePHI 的业务伙伴。遵守 HIPAA 法规是强制性要求,不合规可能会导致重大处罚,包括财务罚款和潜在的刑事指控。

HIPAA 还包括与健康信息电子交换有关的规定,并制定了《经济和临床健康卫生信息技术法案》,用于促进电子健康记录的采用和有意义使用。

请务必注意,我所了解的信息截止至 2021 年 9 月,因此建议查阅美国卫生与公众服务部 (HHS) 等官方来源的最新信息和更新,以获取有关 HIPAA 标准和法规的最新和准确信息。

支付卡行业数据安全标准 (PCI DSS) 合规性标准

支付卡行业数据安全标准 (PCI DSS) 是由主要支付卡品牌(包括 Visa、Mastercard、American Express、Discover 和 JCB)制定的一套合规性标准。PCI DSS 旨在确保持卡人数据的安全,防止支付卡行业内的欺诈和未经授权访问。

PCI DSS 合规性标准由 12 个高级别要求组成,分为 6 个控制目标。这些要求概述了处理支付卡数据的组织必须实施的安全措施:
  • 构建和维护安全网络
  • 保护持卡人数据
  • 维护漏洞管理计划。
  • 维护信息安全策略

PCI DSS 合规性要求因组织参与支付卡交易的级别(分为 1 至 4 级)而异。交易量最高的 1 级商户和服务提供商具有更严格的要求,并且每年需接受合格安全评估机构 (QSA) 的现场审核。2 级、3 级和 4 级商户可能具有不同的验证要求,从自我评估问卷 (SAQ) 到外部漏洞扫描不等。

对于参与支付卡处理的实体(包括商户、服务提供商和支付处理商),需要符合 PCI DSS 的要求。不合规可能会导致处罚、罚款、增加交易费用或限制卡受理。

请务必注意,虽然这些信息概述了 PCI DSS 合规性标准,但具体要求和指导可能会随着时间推移而发生变化。因此,建议查阅官方 PCI 安全标准委员会 (PCI SSC) 网站和最新的 PCI DSS 文档,了解最新信息和要求。

CIS(Internet 安全中心)安全标准

VMware Aria Operations Compliance Pack for CIS 已更新,现支持以下基准:
  • CIS_VMware_ESXi_6.7_Benchmark_V1.3.0
  • CIS_VMware_ESXi_7.0_Benchmark_V1.2.0
有关更多详细信息,请参见 知识库文章 93135

CIS(Internet 安全中心)安全标准是保护计算机系统和网络的一套最佳做法和准则。CIS 组织是一个非营利实体,与各行业的专家协作,开发和推广基于共识的安全配置和基准。

CIS 安全标准包括以下两个主要组成部分:
  • CIS 控制措施:CIS 控制措施包括 20 项安全措施,组织可以采取这些措施缓解最常见和影响最大的网络威胁。根据这些控制措施在降低风险方面的有效性,确定了其优先顺序。它们涵盖各种安全领域,包括资产管理、访问控制、突发事件响应、网络安全和安全意识培训。CIS 控制措施会定期更新,以应对新出现的威胁和不断发展的技术格局。
  • CIS 基准:CIS 基准提供保护特定技术平台和系统的详细配置准则。这些基准概述了针对操作系统、应用程序和网络设备的建议设置和配置,以确保安全性并减少漏洞。CIS 基准通过共识驱动的流程创建,包含网络安全专家、供应商和从业者的意见。

CIS 安全标准以其实用性和可行性而著称,提供了分步说明和具体配置建议。它们得到各行各业的广泛采用,组织将其用作评估、改进和维护其 IT 系统和网络安全性的参考。

CIS 组织会定期更新其安全标准和基准,以应对新出现的威胁、技术进步和法规要求的变化。CIS 安全标准向公众提供,组织可以将其作为加强网络安全态势和降低网络攻击风险的宝贵资源。

国防信息系统局 (DISA) 安全标准

国防信息系统局 (DISA) 为美国国防部 (DoD) 及其信息系统制定并提供安全标准和准则。DISA 负责确保 DoD 全球信息基础架构的安全运行和防御。

DISA 已经制定了多项安全标准和准则,以保护敏感信息并确保 DoD 系统的完整性、可用性和保密性。DISA 提供的一些关键安全标准和准则包括:
  • 安全技术实施指南 (STIG):STIG 是适用于各种操作系统、应用程序和网络设备的一套准则和配置标准。它们详细说明了如何保护和配置这些系统以满足 DoD 安全要求。STIG 涵盖的技术范围广泛,包括 Windows、Linux、Cisco 设备、数据库和 Web 服务器。
  • 安全要求指南 (SRG):SRG 文档全面概述了特定技术平台、系统或应用程序的安全要求。它们提供有关如何根据 DoD 安全策略保护和配置系统的指导。SRG 涉及各种安全领域,包括访问控制、标识和身份验证、审核和财务责任落实以及加密。
  • 安全技术实施指南 (STIG) 查看器:DISA 提供了一个 STIG 查看器工具,可帮助组织评估和实施 STIG 建议。STIG 查看器可根据 STIG 要求自动检查系统配置,从而使组织能够更高效地识别和修复安全漏洞。
  • 信息保证漏洞管理 (IAVM):DISA 维护 IAVM 计划,该计划可识别并管理 DoD 系统中的漏洞。IAVM 警示可及时提供有关安全漏洞和修补程序的信息。DoD 内的组织需要及时应用这些修补程序以缓解潜在风险。
  • DoD 网络安全学科实施计划 (CDIP):CDIP 概述了 DoD 内网络安全实践的实施和管理。它提供用于管理风险、保护系统、应对事件以及培养网络安全意识文化的准则和最佳做法。

DISA 的安全标准和准则在确保 DoD 系统和信息资产的安全性和恢复能力方面发挥着至关重要的作用。它们不断得到更新和完善,以便应对新出现的威胁并与不断发展的网络安全实践保持一致。DoD 内的组织应遵守这些标准,以维护其系统和网络的安全性。

联邦信息安全管理法案 (FISMA) 安全标准

联邦信息安全管理法案 (FISMA) 是美国于 2002 年颁布的一项联邦法律。FISMA 为联邦政府机构及其承包商建立了一个用于保护信息系统和管理网络安全风险的框架。FISMA 要求联邦机构制定、实施并维护信息安全计划,以保护敏感的政府信息。

虽然 FISMA 本身并没有提供详细的安全标准,但它要求联邦机构遵循某些安全准则和标准,包括美国国家标准与技术研究院 (NIST) 制定的标准。NIST 特别出版物 (SP) 800-53 的标题为“联邦信息系统和组织的安全和隐私控制”,它是 FISMA 下引用的关键文档。

NIST SP 800-53 提供联邦机构为保护其信息系统而必须实施的安全控制目录。这些控制措施涵盖各个领域,包括访问控制、事件响应、配置管理、加密、网络安全以及安全评估和授权。这些控制措施分为不同的系列,针对特定安全要求而量身定制。

FISMA 要求联邦机构制定并维护基于风险的信息安全方法。这涉及到进行风险评估、根据发现的风险实施安全控制,定期测试和评估这些控制措施的有效性,以及确保持续监控信息系统。

根据 FISMA 规定,联邦机构还必须进行年度安全评估,包括独立审核,以评估其信息安全计划和控制措施的有效性。这些评估的结果将报告给管理和预算办公室 (OMB) 以及国会。

FISMA 合规性对于联邦机构证明其保护政府信息和确保其信息系统安全的承诺至关重要。它有助于在联邦政府实体之间建立标准化的信息安全方法,并与其他安全框架和标准(如 NIST 网络安全框架和 NIST 风险管理框架)保持一致。

需要注意的是,FISMA 要求可能会随着时间而变化,机构应参考 NIST 和其他权威来源提供的最新指导,以确保符合 FISMA 安全标准。

国际标准化组织 (ISO) 安全标准

国际标准化组织 (ISO) 是一个独立的非政府国际标准化机构,负责制定和发布各个行业的国际标准。ISO 还建立了一系列专门与信息安全管理系统 (ISMS) 相关的安全标准。其中最知名的是 ISO/IEC 27001。

ISO/IEC 27001:ISO/IEC 27001 标准规定了在组织环境中建立、实施、维护和不断改进 ISMS 的要求。它提供一种系统化且基于风险的方法来管理敏感信息的安全性。该标准涵盖风险评估、信息安全策略、资产管理、访问控制、事件管理和合规性等领域。ISO/IEC 27001 得到了全球组织的广泛采用,用作信息安全管理的基准。

ISO/IEC 27002:ISO/IEC 27002(以前称为 ISO/IEC 17799)是信息安全控制实践规范。它根据信息安全管理的最佳做法为实施安全控制和保障提供指导和建议。ISO/IEC 27002 涵盖的安全领域范围广泛,包括组织安全、人力资源安全、物理和环境安全、通信和运维管理以及合规性。

ISO/IEC 27005:ISO/IEC 27005 提供在信息安全环境中进行风险评估的指南。它提供一种结构化的方法来识别、分析、评估和处理信息安全风险。ISO/IEC 27005 可帮助组织评估风险的潜在影响,确定风险承受能力,并制定实施适当安全控制措施的明智决策。

ISO/IEC 27017 和 ISO/IEC 27018:这些标准具体侧重于云安全性。ISO/IEC 27017 提供在云计算环境中实施信息安全控制的准则,而 ISO/IEC 27018 提供保护云中个人数据的指导,并解决与云服务相关的隐私问题。

ISO/IEC 27701:此标准是 ISO/IEC 27001 的扩展,提供实施隐私信息管理系统 (PIMS) 的准则。ISO/IEC 27701 可帮助组织建立并维护控制措施,以保护个人数据并遵守隐私法规,如一般数据保护条例 (GDPR)。

ISO 安全标准为组织建立有效的信息安全管理实践提供了一个框架。遵守这些标准表明承诺保护敏感信息,管理风险并实施强有力的安全控制。组织可通过官方认可的认证机构进行的正式审核流程寻求 ISO 认证,以验证其遵守 ISO 安全标准。