Disclosure e accordo sulla sicurezza Business-to-Business

8

Alla ricerca di un modello che copra le pratiche di sicurezza delle informazioni sulla divulgazione che sono standard nelle partnership Business-to-Business che condividono i dati.

Ad esempio:

  • Gestione degli accessi
  • Gestione delle password
  • Crittografia dei dati in memoria
  • Crittografia dei dati in trasmissione
  • Audibilità e diritto di controllo
  • Distruzione dei dati
  • Avviso di violazione
  • Divulgazione di eventuali violazioni precedenti valutate in eccesso di $ 3.000 USD
  • Etc

Detto questo, questo è più orientato alle piccole-medie imprese; 50-150 persone in ogni compagnia.

    
posta blunders 22.01.2012 - 00:19
fonte

2 risposte

2

Un'area molto comune in cui il contratto commerciale con determinate pratiche di sicurezza è rappresentato dai commercianti che stipulano contratti con società di carte di credito che richiedono la PCI conformità. Laddove sia la conformità SOX che PCI differiscono dalla tua domanda è che lo standard è impostato da una terza parte indipendente e le due parti contraenti accettano sostanzialmente di rispettare tale standard indipendente.

Poiché lo standard è oggettivo e mantenuto da una terza parte, è possibile che qualcuno verifichi la conformità delle aziende, in realtà la maggior parte degli accordi commerciali richiede test di conformità PCI.

Anche se potrebbe essere eccessivo, potresti avere un contratto che richiede che il tuo partner rispetti il NIST standard o Federal Information Processing Standards (FIPS) . Scrivendo un linguaggio semplice come "La ditta X garantisce che rispetterà lo standard X" invece di provare a incorporare le disposizioni di uno standard nel contratto, la risoluzione sarebbe molto più semplice e meno costosa in caso di violazione o contestazione a causa di cercando di discutere su quali siano le disposizioni del contratto, diventa semplice ottenere che un esperto di terze parti abbia familiarità con lo standard di riferimento per valutare la conformità a tale standard.

Infine non è necessario richiedere la conformità all'intero set di FIPS; ad esempio puoi fare riferimento a FIPS 197 per la crittografia dei dati e FIPS 112 per le password.

    
risposta data 02.02.2012 - 03:30
fonte
1

Le politiche che descrivi sono simili a quelle richieste per SOX. È possibile acquistare modelli di criteri SOX (ad esempio: link ). NIST ha un numero di documenti che può aiutarti qui: link

    
risposta data 26.01.2012 - 19:10
fonte

Leggi altre domande sui tag