法規合規性基準是協助組織衡量和評估其符合適用法律、法規和業界標準的合規性層級的標準或準則。

健康保險流通與責任法案 (HIPAA)

健康保險流通與責任法案 (HIPAA) 是一項於 1996 年頒佈的美國聯邦法律。HIPAA 制定了標準和法規,以保護醫療保健行業個人健康資訊 (PHI) 和電子健康記錄 (EHR) 的隱私權、安全性和機密性。

HIPAA 隱私權規則和安全性規則是 HIPAA 標準的兩個關鍵組成部分:
  • HIPAA 隱私權規則:隱私權規則在相關實體 (包括醫療保健提供者、健康計劃和醫療保健資訊交換中心) 使用和揭露 PHI 方面設定了標準。它向個人授與對其健康資訊的某些權利,如存取權、請求修改權和取得會計資訊揭露權。相關實體必須實作保護 PHI 的安全措施,向患者提供有關隱私做法的通知,並取得 PHI 的某些使用和揭露的書面授權。
  • HIPAA 安全性規則:安全性規則在保護電子 PHI (ePHI) 方面制定了安全標準。它要求相關實體及其業務夥伴實作管理、實體和技術安全措施,以確保 ePHI 的機密性、完整性和可用性。這些安全措施包括風險評估、存取控制、加密、稽核控制、災難復原計劃以及員工安全意識訓練。

HIPAA 標準適用於醫療保健提供者、健康計劃、醫療保健資訊交換中心及其處理 PHI 或 ePHI 的業務夥伴。遵守 HIPAA 法規是強制性要求,不合規可能會導致重大懲罰,包括財務罰款和潛在的刑事指控。

HIPAA 還包括與健康資訊電子交換有關的規定,並制定了《經濟和臨床健康衛生資訊技術 (HITECH) 法案》,用於促進電子健康記錄的採用和有意義使用。

請務必注意,我所瞭解的資訊截至 2021 年 9 月,因此建議查閱美國衛生與人群服務部 (HHS) 等官方來源的最新資訊和更新,以取得有關 HIPAA 標準和法規的最新準確資訊。

支付卡產業資料安全標準 (PCI DSS) 合規性標準

支付卡產業資料安全標準 (PCI DSS) 是由主要支付卡品牌 (包括 Visa、Mastercard、American Express、Discover 和 JCB) 制定的一套合規性標準。PCI DSS 旨在確保持卡人資料的安全,防止支付卡產業內的欺詐和未經授權存取。

PCI DSS 合規性標準由 12 個高層級需求組成,分為 6 個控制目標。這些要求概述了處理支付卡資料的組織必須實作的安全措施:
  • 建置和維護安全網路
  • 保護持卡人資料
  • 維護漏洞管理計畫。
  • 維護資訊安全性原則

PCI DSS 合規性要求因組織參與支付卡交易的等級 (分為 1 至 4 級) 而異。交易量最高的 1 級商家和服務提供者具有更嚴格的要求,並且每年需接受合格安全評估機構 (QSA) 的現場稽核。2 級、3 級和 4 級商家可能具有不同的驗證要求,從自我評估問卷 (SAQ) 到外部漏洞掃描不等。

對於參與支付卡處理的實體 (包括商家、服務提供者和支付處理方),需要符合 PCI DSS 的標準。不合規可能會導致懲罰、罰款、增加交易費用或限制卡受理。

請務必注意,雖然這些資訊概述了 PCI DSS 合規性標準,但具體要求和指導可能會隨著時間推移而發生變化。因此,建議查閱官方 PCI 安全標準委員會 (PCI SSC) 網站和最新的 PCI DSS 說明文件,瞭解最新資訊和要求。

CIS (網際網路安全中心) 安全標準

VMware Aria Operations Compliance Pack for CIS 已更新,現支援以下基準:
  • CIS_VMware_ESXi_6.7_Benchmark_V1.3.0
  • CIS_VMware_ESXi_7.0_Benchmark_V1.2.0
如需更多詳細資料,請參閱 知識庫 93135

CIS (網際網路安全中心) 安全標準是保護電腦系統和網路的一套最佳做法和準則。CIS 組織是一個非營利實體,與各個產業的專家協同合作,開發和推廣基於共識的安全性組態和基準。

CIS 安全標準包括以下兩個主要組成部分:
  • CIS 控制措施:CIS 控制措施包括 20 項安全措施,組織可以採取這些措施緩解最常見和影響最大的網路威脅。根據這些控制措施在降低風險方面的有效性,確定了其優先順序。它們涵蓋各種安全領域,包括資產管理、存取控制、事件回應、網路安全性和安全意識訓練。CIS 控制措施會定期更新,以應對新興威脅和不斷發展的技術格局。
  • CIS 基準:CIS 基準提供保護特定技術平台和系統的詳細設定準則。這些基準概述了針對作業系統、應用程式和網路裝置的建議設定和組態,以確保安全性並減少漏洞。CIS 基準透過共識驅動的流程建立,包含網路安全專家、廠商和從業者的意見。

CIS 安全標準以其實用性和可行性而著稱,提供了逐步指示和具體設定建議。它們得到各行各業的廣泛採用,組織將其用作評估、改進和維護其 IT 系統和網路安全性的參考。

CIS 組織會定期更新其安全標準和基準,以應對新興威脅、技術進步和法規要求的變化。CIS 安全標準面向公眾,組織可以將其作為加強網路安全態勢和降低網路攻擊風險的寶貴資源。

美國國防資訊系統局 (DISA) 安全標準

美國國防資訊系統局 (DISA) 為美國國防部 (DoD) 及其資訊系統制定並提供安全標準和準則。DISA 負責確保 DoD 全球資訊基礎結構的安全運作和防禦。

DISA 已經制定了多項安全標準和準則,以保護敏感資訊並確保 DoD 系統的完整性、可用性和機密性。DISA 提供的一些關鍵安全標準和準則包括:
  • 安全性技術實作指南 (STIG):STIG 是適用於各種作業系統、應用程式和網路裝置的一套準則和設定標準。其中詳細說明了如何保護和設定這些系統以滿足 DoD 安全性需求。STIG 涵蓋的技術範圍廣泛,包括 Windows、Linux、Cisco 裝置、資料庫和 Web 伺服器。
  • 安全性需求指南 (SRG):SRG 文件全面概述了特定技術平台、系統或應用程式的安全性需求。其中提供了有關如何根據 DoD 安全性原則保護和設定系統的指導。SRG 涉及各種安全領域,包括存取控制、識別和驗證、稽核和問責制以及加密。
  • 安全性技術實作指南 (STIG) 檢視器:DISA 提供了一個 STIG 檢視器工具,可協助組織評估和實作 STIG 建議。STIG 檢視器可根據 STIG 需求自動檢查系統設定,從而使組織能夠更高效地識別和修復安全性漏洞。
  • 資訊保證漏洞管理 (IAVM):DISA 維護 IAVM 計畫,該計畫可識別並管理 DoD 系統中的漏洞。IAVM 警示可及時提供有關安全性漏洞和修補程式的資訊。DoD 內的組織需要及時套用這些修補程式以緩解潛在風險。
  • DoD 網路安全學科實作計劃 (CDIP):CDIP 概述了 DoD 內網路安全做法的實作和管理。它提供用於管理風險、保護系統、應對事件以及培養網路安全意識文化的準則和最佳做法。

DISA 的安全標準和準則在確保 DoD 系統和資訊資產的安全性和復原能力方面發揮著至關重要的作用。它們不斷得到更新和完善,以便應對新興威脅並與不斷發展的網路安全做法保持一致。DoD 內的組織應遵守這些標準,以維護其系統和網路的安全性。

聯邦資訊安全管理法 (FISMA) 安全標準

聯邦資訊安全管理法 (FISMA) 是美國於 2002 年頒佈的一項聯邦法律。FISMA 為聯邦政府機構及其承包商建立了一個用於保護資訊系統和管理網路安全風險的架構。FISMA 要求聯邦機構制定、實作並維護資訊安全計畫,以保護敏感的政府資訊。

雖然 FISMA 本身並沒有提供詳細的安全標準,但它要求聯邦機構遵循某些安全準則和標準,包括國家標準與技術研究院 (NIST) 制定的標準。NIST 特刊 (SP) 800-53 的標題為「聯邦資訊系統和組織的安全性和隱私權控制」,它是 FISMA 下參照的關鍵文件。

NIST SP 800-53 提供聯邦機構為保護其資訊系統而必須實作的安全控制措施目錄。這些控制措施涵蓋各個領域,包括存取控制、事件回應、組態管理、加密、網路安全性以及安全性評估和授權。這些控制措施分為不同的系列,針對特定安全性需求而量身定製。

FISMA 要求聯邦機構制定並維護基於風險的資訊安全方法。這涉及到進行風險評估、根據發現的風險實作安全控制,定期測試和評估這些控制措施的有效性,以及確保持續監控資訊系統。

根據 FISMA 規定,聯邦機構還必須進行年度安全性評估,包括獨立稽核,以評估其資訊安全計畫和控制措施的有效性。這些評估的結果將報告給美國管理預算局 (OMB) 以及國會。

FISMA 合規性對於聯邦機構證明其保護政府資訊和確保其資訊系統安全性的承諾至關重要。它有助於在聯邦政府實體之間建立標準化的資訊安全方法,並與其他安全性架構和標準 (例如 NIST 網路安全架構和 NIST 風險管理架構) 保持一致。

需要注意的是,FISMA 要求可能會隨著時間推移而變化,機構應參照 NIST 和其他權威來源提供的最新指導,以確保符合 FISMA 安全標準。

國際標準化組織 (ISO) 安全標準

國際標準化組織 (ISO) 是一個獨立的非政府國際標準化機構,負責制定和發佈各個產業的國際標準。ISO 還建立了一系列專門與資訊安全管理系統 (ISMS) 相關的安全標準。其中最知名的是 ISO/IEC 27001。

ISO/IEC 27001:ISO/IEC 27001 標準規定了在組織環境中建立、實作、維護和不斷改進 ISMS 的要求。它提供一種系統化且基於風險的方法來管理敏感資訊的安全性。該標準涵蓋風險評估、資訊安全性原則、資產管理、存取控制、事件管理和合規性等領域。ISO/IEC 27001 得到了全球組織的廣泛採用,用作資訊安全管理的基準。

ISO/IEC 27002:ISO/IEC 27002 (先前稱為 ISO/IEC 17799) 是資訊安全控制作業規範。它提供有關根據資訊安全管理的最佳做法為實作安全控制和保障的指導和建議。ISO/IEC 27002 涵蓋的安全領域範圍廣泛,包括組織安全性、人力資源安全性、物理和環境安全性、通訊和營運管理以及合規性。

ISO/IEC 27005:ISO/IEC 27005 提供在資訊安全環境中進行風險評估的指南。它提供一種結構化方法來識別、分析、評估和處理資訊安全風險。ISO/IEC 27005 可協助組織評估風險的潛在影響,確定風險承受能力,並制定實作適當安全控制措施的明智決策。

ISO/IEC 27017 和 ISO/IEC 27018:這些標準具體側重於雲端安全性。ISO/IEC 27017 提供在雲端運算環境中實作資訊安全控制的準則,而 ISO/IEC 27018 提供保護雲端中個人資料的指導,並解決與雲端服務相關的隱私權問題。

ISO/IEC 27701:此標準是 ISO/IEC 27001 的擴展,提供實作隱私資訊管理系統 (PIMS) 的準則。ISO/IEC 27701 可協助組織建立並維護控制措施,以保護個人資料並遵守隱私法規,例如一般資料保護規範 (GDPR)。

ISO 安全標準為組織建立有效的資訊安全管理實踐提供了一個架構。遵守這些標準表明承諾保護敏感資訊,管理風險並實作強有力的安全控制。組織可透過官方認可的認證機構進行的正式稽核流程尋求 ISO 認證,以驗證其遵守 ISO 安全標準。