【TechTarget中国原创】美国国内寄望通过《2009美国复苏与再投资法案》等一系列经济刺激方案的出台,使美国重回经济增长轨道。美国州政府CIO协会(NASCIO)提醒CIO和首席安全官密切关注安全标准及相关安全项目。NASCIO表示,资金注入可能要求出台更为严格的管控措施。与此同时,国家背负着将资金投入各种项目的压力,这无疑会带来一定的安全风险。
Colorado公司CIO Mike Locatis说:“由《美国复苏与再投资法案》带来的国家资金注入为支持复苏计划和服务的国内IT项目带来了新的巨大压力,增加了美国政府出台更为严格的安全管控措施的可能性。之所以采取更加严格的管控措施,在于公众对复苏资金使用过程中透明度、问责制的广泛关注。当然,这增加了国家对现有以及全新IT安全标准理解的必要性,确保相关项目必须采用并整合这些安全标准。”
NASCIO发布新报告,旨在为国内CIO或首席信息安全官(CISOs)提供处理影响国家组织的一系列充满挑战的安全标准框架。
《不顾一切寻找安全框架——美国CIO攻略》摘要列出了10条安全标准,囊括《萨班斯——奥克斯利法案》、信息技术控制目标(COBIT)、《支付卡行业数据安全标准》、SAS 70审计准则及其在国家各组织中的应用。
该概要同时包括有关国家如何利用这些安全标准形成(或未形成)自己的安全项目、报告中简明定义的各项标准应能证明对私有企业的IT管理人员有效等信息。报告提出了8个可能适用于任何CIO或CISO 的“行动项目”:
- 理解各重叠标准的复杂性。
- 选择一个基本标准,必要时参考其它标准。
- 运用“现状”评估确认现有差距。
- 参照国家或企业的安全架构纳入各项标准。
- 了解相关垂直标准及其发展过程中为企业带来的潜在影响。
- 与企业审计人员建立良好的工作关系。
- 监督、测试、量化遵从等级,确保相关标准及控制有效可行。
- 就安全标准的作用以及在这些标准下企业员工的个人职责对员工进行努力不懈的培训。