自从2018年5月《欧盟通用数据保护条例》（GDPR）实施以来，全球众多国家紧随其脚步设立了保护性安全标准，合规成为很多企业打开市场走出国门的重要选择，以下是在组织准备标准合规时需要考虑的问题。

一、确定合规性是否达标

合规意味着安全系统遵守所有的标准和法规。通过认证，公司可以提供合规声明的物理证据。客户也可能会要求您的系统已通过相应的管理机构认证。

但认证合规计划需要高层管理人员的支持，并占用额外的资源来维护文档和支付咨询费用。因此，弄清您的客户对认证的重视程度，以及公司的利益相关者是否认可这很重要。

Threat Stack的合规经理Lindsey Ullian补充说，在许多情况下，如果公司花时间来获得了认证，他们通常可以避免将来再进行额外的审核，因为大多数客户会信任经过独立验证的证书。

二、仔细规划项目范围

要控制成本吗？收紧标准项目的范围很重要。Gartner的Pratap表示，公司在采用标准时，往往试图承担过多。所以应该从定义范围开始——要确定这些标准针对哪些部门和员工。显然，安全供应商或咨询公司的定价也将取决于公司的项目范围。在流程中尽早确定范围可以为整个计划节省大量时间和成本。

三、了解公司为什么要使用该标准

ISO 27001标准在国际上被公认为为组织机构提供了安全控制的强有力的基线，它是如此的全面以至于大多数公司只根据公司业务采用了其中的部分内容。相反，全球ISO15408体系下的物联网信息安全的国际技术规范标准——《物联网安全芯片技术规范》和《物联网安全通信模块技术规范》是受整个欧盟地区市场认可使用的网络信息安全国际标准体系，为企业物联网产品出海合规提供了强有力的帮助。为了获得最大回报，Gartner公司的Pratap建议企业后退一步，考虑一下具体要解决标准的哪些方面，以及它是如何对企业业务产生帮助的。

是要使用多因素认证的标准吗?需要电子邮件加密吗?或者需要对安全和风险有共同的语言和理解吗?这在很大程度上取决于组织所处的行业。例如，银行和国防承包商可能专注于加密；而医疗实践可能更多地关注患者的更强身份验证；物联网企业或许会更在意信息安全保护及其风险。

四、考虑新标准如何与公司的增长计划保持一致

Gartner的Pratap说，企业需要考虑这些标准将如何让它们变得更强大，并让它们处于有利地位来发展业务。例如，由于新的认证，安全团队需要与高层管理人员沟通发现新的业务商机。例如，遵守GDPR可以潜在地使业务对欧盟客户和世界各地的其他企业更具吸引力。

Threat Stack的Ullian补充说，每当组织准备进行审计或审查内部控制时，监管框架也有助于改善合规流程。随着时间的推移，公司可以通过使用外部工具实现自动化，这些工具被设计用来简化合规性审计的手工工作流程。这些工具通常包括内部审计功能，可以帮助确保公司保持持续的合规性，避免在审核时间临近时匆忙进行更改。

五、确定遵守标准的成本

根据Gartner的Pratap数据，一项评估的底价在5万美元左右。这还不包括培训、聘用顾问以及在需要的时候进行笔录测试。Threat Stack的Ullian表示，成本和投资回报率在任何合规项目中都是重要因素，但同样重要的是要记住，对于像《欧盟通用数据保护条例》（GDPR）和《加州消费者隐私保护法》（CCPA）这样的法律规定，不合规的成本可能比最详细、最昂贵的合规项目高出一个数量级。她建议，企业需要考虑合规带来的好处。对于可选的合规框架，必须在成本与它所提供的好处(例如更快的销售周期和降低安全事件风险)之间进行权衡。

六、培训和准备

Gartner的Pratap表示，公司应该培训至少两名团队成员，让他们成为所选证书认证的主题专家。大多数标准制定机构或认证机构会提供培训课程。至少，咨询合作伙伴将为内部团队提供“培训培训师”的服务。跟进所选安全标准的要求，使员工做好进行自我审计的准备。这有助于准备文档和凭据，并在审核范围内组织对基础结构的只读访问。

七、制定并实施维护制度

Gartner的Pratap表示，安全认证审计通常是每年例行的。但是，重要的是要将保持证书有效的工作期视为一个持续的过程，其中涉及改进安全实践和从过去的经验中学习。认真维护记录，使安全合规性活动负责。如果公司这样做，则更易于维护认证。

*本文出自SCA安全通信联盟，转载请注明出处。（SCA安全通信联盟原创文章对外开白，欢迎加微信MrYe9173751开白）