OPS01-BP04 评估合规性要求
评估监管合规性要求和行业标准等外部因素,确保您了解自己可能需要遵循或重视的指导原则或义务。如果未确定合规性要求,请确保您已对此决定进行尽职调查。
常见反模式:
-
您正在接受审核,并需要提供行业法规的合规性证明。您不知道自己是否合规,因为您从未评估过合规性要求。
-
您的管理账户被盗用,导致客户数据被下载,并损害了客户的信任。您的行业最佳实践要求使用 MFA 来保护管理账户。您未使用 MFA 保护管理账户,并遭到客户投诉。
建立此最佳实践的好处: 评估和了解适用于工作负载的合规性要求将为您提供相关信息,告知您如何通过安排工作的优先级来实现商业价值。
未建立这种最佳实践的情况下暴露的风险等级: 高
实施指导
-
了解合规性要求:评估监管合规性要求和行业标准等外部因素,确保您了解自己可能需要遵循或重视的指导原则或义务。如果未确定合规性要求,请确保您已对此决定进行尽职调查。
-
了解监管合规性要求:确定您在法律上有义务满足的监管合规性要求。根据这些要求来确定工作重心。例如,隐私和数据保护法案中规定的义务。
-
了解行业标准和最佳实践:确定适用于工作负载的行业标准和最佳实践要求,如支付卡行业数据安全标准(PCI DSS,Payment Card Industry Data Security Standard)。根据这些要求来确定工作重心。
-
了解内部合规性要求:确定组织制定的合规性要求和最佳实践。根据这些要求来确定工作重心。例如,信息安全策略和数据分类标准。
-
资源
相关文档:
