Kanun ve yönetmeliklere uygunluk

- [Eğitmen] Yürürlükteki yasa ve yönetmeliklere uygun olmak, bir bilgi güvenliği programının dört ana hedefinden biridir. Bilgi güvenliğinin artan önemi nedeniyle, birçok yasa ve yönetmelik vardır ve önümüzdeki yıllarda daha fazlasının ortaya çıkmasını bekleyebiliriz. Çok uluslu gereksinimlerden ulusal, eyalet ve yerel seviyelere kadar her şeyi, birçok yönetişim düzeyinde geçerli yasaları ve düzenlemeleri bulacaksınız. Hatta bazı endüstrilerin kendi kendini düzenlediğini bile göreceksiniz. Muhtemelen görebileceğiniz daha yaygın yasa ve düzenlemelerden birkaçını gözden geçirelim. Genel olarak geçerli bazı yasa ve yönetmeliklerle başlayacağız. Amerika Birleşik Devletleri tarafından 2002 yılında yürürlüğe giren Sarbanes-Oxley Yasası, halka açık ABD şirketleri için geçerlidir. Kurumsal açıklamaların, özellikle de finansal açıklamaların doğruluğunu ve güvenilirliğini artırarak yatırımcıları ve halkı korumak için tasarlanmıştır. Bu, bilgi güvenliği programlarının, halka açık olsun ya da olmasın, kuruluşlarının finansal verilerinin korunduğundan emin olması gerektiği anlamına gelir. Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, ödeme kartı müşteri verilerinin güvenliğini sağlamak için bir dizi gereksinimdir. American Express, MasterCard ve Visa'yı içeren PCI Güvenlik Standartları Konseyi'nin kurucuları tarafından geliştirilmiştir. PCI DSS, perakendeciler, bankalar ve kredi kartı şirketleri dahil olmak üzere kredi kartı verilerini işleyen herkes için geçerlidir. Veri ihlali bildirim yasaları, 2002'den bu yana çoğu ABD eyaletinde yürürlüğe girmiştir. Kaliforniya, ABD'deki ilk oldu. Avrupa Birliği 2009 yılında böyle bir yasa çıkardı. Hepsi, kuruluşların etkilenen müşterileri veri ihlalleri hakkında bilgilendirmesini gerektirir. Bu yasalar ayrıca, kuruluşların ihlale karışan tüketicileri korumak için başka adımlar atmasını gerektirir. Şimdi, sektöre özgü bazı düzenlemelere ve yönergelere dönelim. 2002 yılında yürürlüğe giren Federal Bilgi Güvenliği Yönetimi Yasası, ABD federal kurumlarının bilgi ve bilgi sistemleri için güvenlik sağlamak üzere bir program uygulamalarını gerektirmektedir. Kuzey Amerika Elektrik Güvenilirliği Şirketi, Kuzey Amerika'nın toplu güç sistemi için standartlar yayınladı. Sektörün kritik altyapısını fiziksel ve siber tehditlerden korur. Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası, elektronik sağlık işlemlerini korumak için ülke çapında standartların benimsenmesini gerektirir. Yasa ayrıca kişisel sağlık bilgilerinin güvenliğini ve gizliliğini korumayı da gerektirir. Hepsi kapsam dahilindeki varlıklar olarak bilinen sağlık hizmeti sağlayıcıları, sağlık planları ve sağlık takas merkezleri için geçerlidir. HIPAA, kapsam dahilindeki kuruluşlara hizmet veren sağlık hizmeti dışı şirketler olan iş ortakları için de geçerlidir. Fayda beyanlarının açıklamasını yazdıran ve postalayan bir dış şirket, bir iş ortağına örnektir. Ekonomik ve Klinik Sağlık için Sağlık Bilgi Teknolojisi Yasası, 2009 yılında HIPAA'yı önemli ölçüde değiştirdi. Hasta sağlık bilgileri için gizlilik ve güvenlikle ilgili yeni gereksinimler ekledi. Ve hem kapsam dahilindeki kuruluşlar hem de iş ortakları için geçerlidir. Veri gizliliği cephesinde, en önemli yasalardan biri Avrupa Genel Veri Koruma Yönetmeliği'dir. Avrupa Birliği, en az 1995 yılından beri kişisel verilerin genel olarak işlenmesini düzenlemektedir. Henüz bilmiyorsanız, AB'deki insanların kişisel gizlilik söz konusu olduğunda Amerika Birleşik Devletleri'nde yaşayan insanlara kıyasla daha yüksek beklentileri olduğunu fark etmek önemlidir. GDPR'nin Amerikan ticareti üzerindeki baskısı ve skandalları etkileyen son seçimlerle Kaliforniya'nın Tüketici Gizliliği Yasası 1 Ocak 2020'de yasalaştı. CCPA, kişisel bilgilerin tanımını büyük ölçüde artırır ve PI'yi koruyamayan kuruluşları ağır bir şekilde cezalandırmayı çok daha kolay hale getirir. Ve şimdi, en az bir düzine başka devlet benzer yasaları geçirmek için çalışıyor. Önümüzdeki birkaç yıl içinde tek bir ulusal yasa bile görebiliriz. Kuruluşunuz için hangi yasa ve yönetmeliklerin geçerli olduğunu bulmak araştırma yapmak zaman alır. Ve genellikle sonuçlarınıza son derece güvenmek için hukuk danışmanına ihtiyaç duyarsınız, ki bu da onlara uymaya çalışmak için önemli zaman ve para harcamadan önce olmak isteyeceksiniz.