还记得今年早些时候一切照旧的时候吗?在过去的一个月里,什么软件买球生活发生了多么迅速的变化。 COVID-19 对全国各地的个人和企业的日常生活造成了严重破坏。尽管我们国家的大部分地区已经关闭,但什么软件买球许多监管和合同要求并没有消失,尤其是与信息安全相关的要求。

事实上,当我们远程工作时,信息安全是 比以往任何时候都重要.您可能被要求提供 SOC 报告、PCI ROC、ISO 认证、HITRUST 认证或任何数量的第三方报告,以向您的客户或监管机构展示安全环境,并且在当前环境中,您可能不确定这是否是可能的。然而,许多组织仍然被要求从客户、政府监管机构和潜在客户那里就他们处理的数据的安全性做出这些保证。幸运的是,在大流行期间,监督这些服务的监管和认证机构非常积极主动,并推出了新的指南,以帮助企业和审计师等利用技术和远程工作来完成这些审计。

向远程工作的过渡

远程工作给许多公司带来了新的担忧。我们如何保持联系?远程工作对我们当前的项目有什么影响?我如何有效地与我的团队和我的客户沟通?远程工作不一定是可怕的。事实上,它可以像在办公室一样富有成效。您可能已经可以使用有助于模拟办公室体验的工具。 WebEx、Skype、Zoom、Slack 和 Microsoft Teams 等工具允许团队和客户进行视频会议、共享屏幕并可能进行观察。对于那些可能一直在回避这项技术的人来说,有什么更好的时间来熟悉这些工具并学习它们提供的许多功能呢?

监管和认证组织的回应

监管和认证机构已经认识到 COVID-19 大流行给组织及其评估人员带来了新的挑战。作为回应,许多人发布了关于在这些独特情况下满足监管要求的额外指南。

美国注册会计师协会

美国注册会计师协会发布了 指导 关于如何进行远程审计,而许多组织仅限于员工访问其设施。目前,尚未发布与对许多人如此重要的 SOC 2 报告相关的正式指南;但是,远程财务审计的大部分指南都可以应用于这些 SOC 审计。此外,注册会计师事务所可能会采用替代程序,其中观察曾经被用来记录控制的有效性。如果在曾经使用物理观察的地方无法收集到任何证据,则最坏的情况是某些物理控制的范围可能受到限制。

信任

信任 发布了关于 新冠肺炎 对脑脊液评估程序的影响,包括免除现场评估要求并解决 COVID-19 对评估时间表的影响的新公告。尽管 HITRUST 已在一段时间内免除现场要求,但 HITRUST 仍要求 HITRUST 授权的外部评估员获得足够和适当的证据,以确定满足要求。此过程最显着地影响通常使用现场观察进行测试的要求,例如观察到位的物理和环境保护。对于这些观察结果,HITRUST 概述了以下示例 替代程序 评估者可以利用以获得足够的实施证据。这些包括对证据的评估,例如摄像机镜头、设施图、访问日志、安装和维护记录等。

就时间表而言,最近 HITRUST 宣布新的桥梁评估 可用于因 COVID-19 危机而需要帮助维持其 HITRUST CSF 认证的公司。即使错过了经过验证的评估提交截止日期,这也允许公司将 HITRUST CSF 认证状态的形式再保持 90 天。如果您的组织需要 HITRUST Bridge 评估,请联系我们。我们甚至为新客户提供特价。如果您有兴趣了解有关 HITRUST 的最新指南,可以在他们发布的正式公告中找到更新 这里.

ISO

ISO 最近发布了一个 陈述 鉴于 COVID-19 大流行表明所有 ISO 治理和技术会议都应以虚拟方式进行或推迟到以后进行。许多 ISO 认证机构在没有特别许可的情况下通常允许不超过 30% 的审核远程进行,但此时允许完全远程审核。

PCI

PCI 安全标准委员会还提供了 指导 用于应对 COVID-19 大流行的远程审计。 PCI SSC 已经发布了与远程审核相关的指南,但会继续监控 COVID-19 大流行,并将在必要时提供更新。外部渗透测试继续照常进行。但是,已经实施了新流程,允许在不踏入现场的情况下进行内部渗透测试。

这些评估的共同点是需要解决对物理和环境保护的观察。正如所讨论的,大多数情况不必对您当前的需求产生影响或延迟,以保持您的业务发展并履行您的合规义务。无论您的组织正在进行何种评估,LBMC 都可以帮助您实现合规性需求。 LBMC 已实施流程并更新测试程序,以成功进行远程观测。

 

LBMC 认识到每个组织都是不同的。如果您对 COVID-19 如何影响您组织的 IT 合规性审计有疑问,您可以继续监控 LBMC 的 COVID-19 资源中心 or 在这里联系我们.

 

想了解更多? 听什么软件买球 网络安全感播客 切尔西史密斯和比尔迪恩。