法律团队一直在信息安全和合规计划中发挥着重要作用。律师提供的专业知识与IT专业人员的技术知识相辅相成,当两者朝着共同的目标共同努力时,他们可以帮助组织建立全面的IT风险管理计划。在本文中,我们将探讨法律团队可以在三个不同领域帮助各种规模企业的信息安全,以及如何确保两个团队成功合作。风险管理法律部门经常发现自己被置于企业风险管理(ERM)计划中,主要原因有两个:首先,他们通常了解业务各个领域面临的许多敏感风险;其次,很多企业风险是法律性质的,需要律师的专业知识来协助解读法律法规,评估一旦违规对企业的影响。信息安全专业人员通常会执行自己的风险评估,但显然,信息安全团队寻找的风险与法律部门关注的风险有很大不同。此外,安全驱动的风险评估往往在孤立的环境中进行,并且由于其技术性很强,很少在IT部门之外共享。如果IT领导者能够弥合这一技术差距并提供信息安全风险的“外行”评估,他们就可以与其法律团队合作,将这些评估纳入更广泛的ERM计划。每个大型企业都应该有一个ERM程序,在整个企业范围内收集风险数据,以评估和减轻企业面临的风险。同时,信息安全风险(例如恶意软件、补丁完善的系统、政策违规等)和许多其他风险也应纳入更广泛的风险管理工作。为确保这种协作发生,信息安全领导者应与他们的法律同行建立伙伴关系。相反,组织应该促进这两个团队之间就风险的各个角度进行讨论,这无疑会找到共同感兴趣的领域以及每个团队支持对方目标的方式,包括风险管理。这种协作方法最终将有助于确保组织领导清楚地了解安全风险,并可能允许他们分配更多资源来解决IT风险。合规性和事件响应大多数法律团队最初参与IT安全问题是为了向IT和职能团队提供帮助,以确保公司遵守安全法律法规。支付卡行业数据安全标准(PCIDSS)、健康保险流通与责任法案(HIPAA)、Gramm-Leach-BlileyAct(GLBA)等诸多法规对IT组织提出了各种要求,而IT组织往往缺乏培训和经验解释和应用复杂的法律和行业规范。律师可以帮助IT团队清楚地了解哪些法规适用于业务以及它们适用的范围。当监管出现歧义时,他们还能够就计划控制的可接受性提供建议。信息安全团队应毫不犹豫地联系法律团队,讨论如何解释和遵守合规性要求。每个团队都需要一些练习来学习如何理解对方的语言,因此请记住双方都需要耐心。当发生数据泄露或其他重大安全事件时,法律团队也发挥着重要作用。他们的专业知识可以帮助从法律角度做出响应,并可以就数据泄露事件的通知和响应向业务负责人提供法律建议。因此,绝对有必要在事件发生之前让法律团队参与事件响应计划。这应该包括,在桌面剧中,在模拟IT问题的同时,还应该考虑相关的法律问题。当确实发生事故时,法务部门也应立即得到通知,并参与快速反应。合同审查大多数企业已经依靠他们的法律团队来审查IT合同(如果您没有,您应该这样做)。这项工作的自然延伸是要求法律团队确保合同中的安全语言充分保护企业的利益。这应该适用于与供应商和客户签订的合同,并且应该包括覆盖范围问题,包括安全控制、审计、事件通知、赔偿等重要问题。促进安全和法律团队之间协作的最佳方法之一是让他们合作开发一套标准的合同语言文件来解决这些问题。通过这种方式,信息安全团队可以将这种语言添加到他们收到或创建的任何合同中,确保可以自动解决关键的法律问题。当合同的另一方接受格式条款时,合同就可以很快被批准。另一方面,对标准条款提出的任何更改都需要法律和信息安全团队进行深入审查。结论与法律部门建立牢固的关系是作为信息安全专业人员取得成功的最快途径之一。当信息安全专家和法律团队共同努力解决信息安全带来的问题时,整个企业都会受益。
