حاکمیت، مدیریت ریسک و انطباق

اگر سازمانت هیچ‌وقت ریسک‌ها و قوانینش را زیر نظر نگیرد، فکر می‌کنی چند روز طول می‌کشد تا یک بحران واقعی همه‌چیز را نابود کند؟

چرایی پیاده‌سازی GRC در یک شرکت این است که بدون آن سازمان نمی‌تواند به شکل مطمئن و هماهنگ اهدافش را دنبال کند: حاکمیت شفاف به تصمیم‌گیری درست و پاسخگویی کمک می‌کند، مدیریت ریسک احتمال وقوع بحران‌ها و خسارت‌ها را کاهش می‌دهد و انطباق با قوانین و استانداردها از جریمه‌ها، آسیب به اعتبار و اختلال عملیاتی جلوگیری می‌کند؛ به عبارت دیگر، GRC تضمین می‌کند که سازمان همزمان امن، قانونی و کارآمد عمل کند و ارزش بلندمدت خود را حفظ نماید.

GRC یا (Governance, Risk & Compliance)به معنای «حاکمیت، ریسک و انطباق» است؛ به مجموعه‌ای از فرآیندها، سیاست‌ها، ساختارها و ابزارها گفته می‌شود که سازمان را کمک می‌کند اهدافش را به‌صورت قابل اعتماد محقق کند، در فضای عدم قطعیت عمل کند و مطابق با قوانین، مقررات و استانداردها بماند.

نرم‌افزار GRC به ابزارهای فناوری گفته می‌شود که این فرآیندها را تسهیل می‌کنند: مدیریت سیاست‌ها، ارزیابی ریسک، نظارت بر کنترل‌ها، انطباق با مقررات، تهیه گزارش‌ها و …

مزایای GRC: صرفه‌جویی در زمان، هماهنگی بخش‌های مختلف سازمان، کاهش دوباره‌کاری، دید یکپارچه از ریسک‌ها و وضعیت انطباق.

با گسترش سازمان ها، پیچیدگی عملیات آن ها نیز افزایش می یابد؛ یعنی حجم اطلاعاتی که شرکت مدیریت میکند افزایش مییابد. اطلاعات ذخیره شده در شرکت ممکن است متعلق به گروه متنوعی از بخش ها با درجات حساسیت متفاوت باشد. در نتیجه، فعالیتهای سازمانی اغلب تحت نظارت چندین نهاد نظارتی و انطباق مختلف قرار میگیرد.

علاوه بر این، وقتی یک سازمان تغییرات سریع در زیرساخت های خود را تجربه میکند، باید اطمینان حاصل کند که فعالیتهای عملیاتی آن با اهداف کسب وکار هماهنگ است. برای مقابله با این چالشهای لجستیکی، مهم است که سازمانها رویکردی سازمان یافته اتخاذ کنند؛ مفهوم واحدی که یکپارچگی سازمان، پایبندی به مقررات و تاب آوری در برابر ریسکها را به هم پیوند میدهد، حاکمیت، ریسک و انطباق (GRC) است.

با ویژگیهای مشترک بین سه رشته، یک راهکار یکپارچه GRC تلاشهای تکراری را کاهش میدهد که میتواند به سازمانها کمک کند عملیات را ساده‌تر کنند، هزینه ها را کاهش دهند و تحلیل های چندحوزه ای را برای ارائه نتایج گسترده تشویق کنند.

حکومت

تصمیمات اجرایی اتخاذ شده توسط یک سازمان را توصیف میکند تا اطمینان حاصل شود عملیات آن به سوی هدف جمعی کسب وکار پیش میرود. حاکمیت سازمانی اطلاعات مدیریتی و ساختارهای کنترلی و ذینفعانی را که بر تصمیمات کلیدی سیاستی تأثیرگذاری، اجرا و نظارت می کنند، ترکیب میکند.

اجزای کلیدی که حاکمیت مؤثر را تعیین میکنند شامل ارزیابیهای داخلی، مدیریت ریسک و گزارشهای پایش انطباق هستند. برخی از برجسته‌ترین چارچوبهایی که می توانند در پیاده‌سازی حاکمیت فناوری اطلاعات کمک کنند عبارتند از:

• اهداف کنترلی برای فناوری های اطلاعاتی و مرتبط (COBIT): COBIT که توسط ISACA ایجاد شده است، برای مدیریت سازمانی فناوری اطلاعات طراحی شده تا چالش های فنی، ریسک های کسب وکار و تصمیم گیرندگان کلیدی را به هم متصل کند. در ابتدا برای حسابرسی فناوری اطلاعات طراحی شده بود، جدیدترین نسخه COBIT 5 بر پنج اصل بنا شده است:
  • برآورده ساختن نیازهای ذینفعان کلیدی
  • اجرای پوشش جامع از کل سازمان
  • یکپارچه سازی چندین چارچوب
  • هموار کردن راه برای رویکردی جامع در اداره سازمانها
  • جداسازی مدیریت از حاکمیت
• کتابخانه زیرساخت فناوری اطلاعات (ITIL): یک چارچوب مدیریت خدمات فناوری اطلاعات مبتنی بر فرآیند (ITSM) که به کسب وکارها اجازه میدهد از قابلیتهای ITSM خود برای دستیابی به نتایج بهتر بهره ببرند.
• کمیته سازمان های حامی کمیسیون تردوی (COSO): چارچوب COSO چندین ناسازگاری را که بر کنترل ای داخلی یک سازمان تأثیر میگذارد، برطرف میکند. با تأکید بیشتر بر جنبه کسب وکار یک سازمان، COSO اهداف کنترل داخلی را به سه دسته تقسیم میکند: عملیات، گزارش دهی و انطباق.
• تحلیل عاملی ریسک اطلاعات (FAIR): FAIR بر جنبه های امنیت سایبری یک سازمان تمرکز دارد و به شرکتها کمک میکند گام های حیاتی برای رفع حضور بازیگران مخرب و شکاف های امنیتی بردارند.
• یکپارچه سازی مدل بلوغ قابلیت (CMMI): روشی که هدفش بهبود فرآیند است و جایی برای سهل انگاری عملیاتی و عملکرد پراکنده باقی نمیگذارد. CMMI یک مقیاس رتبه بندی را معرفی میکند که از یک تا پنج متغیر است تا پایداری فرآیند، کیفیت و سطح بلوغ سودآوری سازمان را تعیین کند.

خطر/ریسک

چالشهای موجود یا فرضی که یک سازمان باید برای اطمینان از عملکرد روان بر آن ها غلبه کند. انواع ریسکهایی که یک شرکت با آن مواجه است عبارتند از:

• ریسک عملیاتی: آسیب‌پذیری‌های سیستماتیک که بر عملیات شرکت تأثیر میگذارند، معادل ریسک سازمانی هستند. این بحرانها میتوانند از داخل یا خارج سرچشمه بگیرند و نمونه هایی از آنها بلایای طبیعی یا انسانی و بحرانهای جهانی هستند که میتوانند زنجیره تأمین جهانی را بی ثبات کنند. عوامل داخلی مؤثر شامل سیاستهای سازمانی معیوب، سخت افزار وصله نشده، حملات سایبری، معاملات داخلی، خطاهای انسانی و استفاده گسترده از دستگاهها یا محصولات معیوب در داخل مؤسسه است.
• ریسک انطباق: ریسکهایی که ناشی از عدم رعایت چارچوب های مقرراتی است.
• ریسک مالی: خطرات احتمالی که بر سلامت مالی یک سازمان تأثیر میگذارند.

انطباق

به نیاز سازمانها به پیروی از مجموعه ای از قوانین و دستورالعملهای مقرراتی اشاره دارد. رعایت مقررات تضمین میکند که شرکتها هیچ مرز اخلاقی را نقض نکنند و به قیمت تحقق اهداف خود تمام نشوند.

مدل قابلیت GRC: جریان کاری ایده آل

بر اساس OCEG، یک عمل ایده آل GRC باید شامل اجزای زیر باشد:

• یادگیری: کسب دانش درباره زمینه سازمان، سیاستهای داخلی و فرهنگ آن که میتوان آنها را برای ایجاد استراتژی‌ها، نقشه راه‌ها و اهداف وارد کرد.
• تراز: استفاده از ابزارهای مؤثر تصمیم گیری برای ایجاد استراتژی ها، اهداف و فرآیندهای عملی که با ارزش ها، نیازها، دشمنان و فرصت های شرکت همسو باشند.
• انجام: اجرای اقداماتی که بتوانند نقشه راه استراتژیک را تحقق بخشند و در عین حال از نقصهای عملیاتی با پاداش دادن به اقدامات مطلوب و رفع نقص های ضدتولید، جلوگیری کنند.
• بررسی: بازنگری اثربخشی عملیاتی طرحها و اقدامات مربوط به آن ها علاوه بر انجام اصلاح مسیر و اتخاذ تدابیر برای افزایش کارایی جریان کاری سازمان.

اجزای راه حل GRC

یک راه حل بی‌نقص GRC می تواند بار کاری مدیران شبکه را با خودکارسازی وظایف روزمره مانند اجرای سیاست ها و نظارت کاهش دهد. ابزارهای GRC وظایف متنوع را یکپارچه می کنند و نیروی کار را از تمرکز بر وظایف تکراری و تکراری که بین تیم های مختلف همپوشانی دارند، نجات می دهد. راهکارهای GRC همچنین باید عملکردهای ضروری را که با الزامات قوانین انطباق همسو باشند ارائه دهند و در ممیزی نهادها، سیستم ها و فروشندگان مرتبط با سازمان کمک کنند.

برخی از اجزای مهم راه حل GRC عبارتند از:

مدیریت سیاست

به مفهوم سازی و اجرای مقررات تعریف شده توسط شرکت می پردازد که فعالیت کاربران و دستگاه ها را در شبکه سازمانی شکل می دهد. علاوه بر مدیریت چرخه عمر کامل سیاست های شرکت، این مؤلفه کانال های ارتباطی برای تشدید تخلفات سیاست از طریق هشدارها و اعلان ها و داشبوردهایی که موارد نقض سیاست را پیگیری، گزارش و مدیریت می کنند، ایجاد می کند.

مدیریت انطباق

ارزیابی مستمر برای اطمینان از اینکه سازمان استانداردهای امنیتی را همراه با چارچوب های قانونی و مقرراتی رعایت می کند و در عین حال الزامات جدید انطباق و صدور مجوز را مطابق با زیرساخت های در حال تحول سازمان ترسیم می کند.

اولین گام برای ارائه مدیریت انطباق، نقشه برداری مقرراتی است که شامل درک و رسیدگی به الزامات اجباری مورد انتظار از یک سازمان توسط مقررات می شود. این کار می تواند با انجام نظرسنجی های ریسک انجام شود تا استنباط هایی درباره وضعیت امنیتی سازمان و مشکلاتی که کارکنان در بخش های مختلف سازمان با آن مواجه اند و معادل عدم رعایت مقررات است، به دست آید.

علاوه بر داشبوردها و سیستم های حسابرسی که فعالیت های غیرعادی را مدیریت و گزارش می کنند، کاربران باید با مقررات آشنا شوند تا بتوانند بهترین روش ها را در عملیات روزمره خود به کار گیرند.

مدیریت ریسک

فرآیند شناسایی تهدیدات احتمالی و موجود که یک سازمان را به خطر می اندازند و اقدامات کاهش دهنده بعدی توسط سازمان، مدیریت ریسک را تشکیل می دهد. پنج مرحله ای که مدیریت ریسک را تشکیل می دهند عبارتند از:

• شناسایی: برآورد میزان عناصر ریسک موجود یا ادراک شده یک سازمان. برای شناسایی آسیب پذیری های عملی و سایر تهدیدات، شرکت ها می توانند از ابزارها و تکنیک هایی مانند پرسشنامه های تحلیل ریسک، ارزیابی ریسک امنیت سایبری و تست نفوذ بهره ببرند.
• تحلیل: تعیین دامنه ریسک ها، یعنی تمرکز بر شدت ریسک و تأثیر آن بر عملیات.
• ارزیابی: اولویت بندی ریسک ها بر اساس دفعات آن ها و شدت آسیبی که می توانند به کسب وکار وارد کنند. ارزیابی های ریسک به دو نوع تقسیم می شوند: ارزیابی کیفی و ارزیابی کمی ریسک. در حالی که ارزیابی کیفی ریسک شامل مقابله با دشمنانی است که نمی توان آن ها را با معیارهایی مانند فاجعه جهانی توصیف کرد، ارزیابی کمی ریسک هایی را ارزیابی می کند که قابل کمی سازی هستند، مانند ریسک های مالی، ریسک های فناوری اطلاعات و غیره.
• خطر را درمان کنید: برنامه ریزی و اجرای اقدامات لازم برای کاهش ریسک. با پیاده سازی برنامه های پاسخ به حادثه و مدیریت وصله ها، یک سازمان می تواند ریسک ها را حذف کرده و زیرساخت فناوری اطلاعات خود را تقویت کند.
• مانیتور: پایش زیرساخت های فناوری اطلاعات و شناسایی شاخص های کلیدی پیش از آنکه به ریسک های کامل تبدیل شوند که می تواند دارایی ها و فرآیندهای حیاتی کسب وکار را به خطر بیندازد. ریسک های در حال تحول و سطوح تهدید در حال گسترش بخشی از محیط های پویا کسب وکار هستند. با استقرار ترکیبی از تحلیل داده های مبتنی بر هوش مصنوعی و یادگیری ماشین و ابزارهای رفتاری مانند SIEM و UEBA، می توان پایش و گزارش دهی تهدیدات را به طور مؤثر پیاده سازی کرد.

مدیریت ریسک فروشندگان

سازمان های مادر باید در بهبود وضعیت امنیتی شرکت ها و راهکارهای فروشنده مداخله کنند، زیرا آن ها توسط مهاجمان به عنوان یک منبع تهدید سودآور برای حملات زنجیره تأمین طولانی مدت دیده می شوند. این شامل کسب دید نسبت به معیارهای امنیتی سازمان های شخص ثالث مانند عدم انطباق و مدیریت وصله ها است؛ جمع آوری امتیازهای ریسک برای شرکت های شریک؛ و قرار دادن ابزارهایی که شکاف ارتباطی بین شرکت های مادر و شرکت های ثالث یا چهارم را پر می کنند، مانند داشبوردهای یکپارچه، برای ردیابی، ارزیابی و نظارت بر اهداف امنیتی و کسب وکار مشترک.

چرا سازمانها به GRC نیاز دارند؟

برای شرکت ها، توانایی پیش بینی، تحمل و واکنش به دشمنان نیازمند دانش کامل از نقاط درد و عوامل موفقیت است که بر زنجیره تأمین آن ها تأثیر می گذارد. به عنوان یکی از اجزای حیاتی GRC، تاب آوری عملیاتی به طور ذاتی با خودکارسازی فرآیندهای کلیدی که آسیب پذیری های جریان کاری را شناسایی می کنند، به طور ذاتی با اثربخشی بهتر به دست می آید. برخی از مزایای اصلی GRC که مکمل یک سازمان مقاوم است عبارتند از:

شفافیت افزوده شده

راه حل های یکپارچه GRC به دلیل فروپاشی مکانیزم های جداشده و اشتراک گذاری دانش قابل همکاری در حوزه ها، دید بهتری نسبت به شاخص های ریسک و اشتیاق فراهم می کنند. این بدان معناست که کارکنان، مالکان فرآیند و ذینفعان می توانند دید بهتری نسبت به نقاط قوت و ضعف سازمان داشته باشند و تصمیمات و سیاست های آگاهانه ای اتخاذ کنند. با شفافیت بیشتر، برای سازمان ها آسان تر می شود تا پروفایل های ریسک و برنامه های عملیاتی برای موارد استثنایی و عوامل ریسک و تطابق بعدی در چنین شرایطی ایجاد کنند.

حفاظت در برابر مشکلات مالی

عدم رعایت الزامات مقرراتی و مجوز می تواند منجر به پرداخت مبالغ سنگینی به عنوان جریمه توسط شرکت ها شود. این موضوع به نوبه خود بر رفاه مالی سازمان ها تأثیر می گذارد. یک نظرسنجی در سال ۲۰۱۷ توسط Ponemon و Globalscape نشان می دهد سازمان هایی که مرتکب عدم رعایت قوانین شده اند باید تا ۲.۷۱ برابر هزینه لازم برای دستیابی به تطابق مؤثر را پرداخت کنند.

مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) که یکی از سخت گیرانه ترین مقررات در حوزه فناوری اطلاعات محسوب می شود، می تواند جریمه هایی تا ۲۰ میلیون یورو یا ۴٪ از کل گردش مالی جهانی یک سازمان در سال مالی گذشته در موارد عدم رعایت قوانین اعمال کند.

علاوه بر این، GRC با حذف وظایف تکراری، سازمان ها را از بار مالی و نیروی کار نجات می دهد. انطباق، علاوه بر سایر ویژگی های GRC، به شرکت ها کمک می کند تا با خطرات سربار قابل اجتناب که می تواند بخش عمده ای از سودشان را مصرف کند، مقابله کنند.

تداوم کسب وکار

توانایی ذاتی راهکارهای GRC در ارزیابی دشمنانی که در کوتاه مدت، میان مدت و بلندمدت بر شرکت تأثیر می گذارند، می تواند عمر مفید طولانی تری برای فرآیندهای حیاتی درون شرکت تضمین کند. GRC به سازمان ها اجازه می دهد وظایف و دارایی های حیاتی را اولویت بندی کنند و به تقویت آن ها (به طور کامل یا جزئی) در مواجهه با ریسک عملیاتی اجتناب ناپذیر، مانند فاجعه خارجی مانند همه گیری، کمک می کند. در چنین مواردی، زمانی که تمام عملیات های دیگر به خطر می افتند، این عملیات های ضروری فعال و فعال هستند.

---

چگونه AD360 نیازهای سازمانی GRC را برآورده میکند؟

مجموعه AD360 دارای ویژگی های داخلی است که می توان آن ها را با تعهدات چارچوب های مختلف نظارتی مانند:

مخزن انطباق برای ماژول مدیریت AD AD360

قانون قابلیت انتقال و پاسخگویی بیمه سلامت (HIPAA)

یک استاندارد مقرراتی برای سازمان هایی که اطلاعات سلامت محافظت شده را ذخیره، پردازش، انتقال و نگهداری می کنند. برای اینکه محیط AD امن و در برابر دسترسی غیرمجاز محافظت شود، رعایت HIPAA ضروری است. AD360 خلأ ابزارهای بومی در زمینه تطابق HIPAA را با ارائه یک مسیر حسابرسی جامع که بینش هایی درباره موارد زیر ارائه می دهد، پر می کند:

• کاربرانی که تلاش های اخیر ورودشان ناموفق بوده است.
• کاربرانی که در روزهای اخیر وارد شده اند.
• زمان واقعی آخرین ورود کاربران.
• کاربرانی که اجازه دسترسی به سرورهای ترمینال را دارند.
• GPOهای تازه اصلاح شده.
• حساب کاربری هایی که در N روز گذشته ایجاد یا تغییر داده شده اند.
• کاربرانی که اخیرا رمز عبور خود را تغییر نداده اند.
• کاربرانی که رمز عبورشان هرگز منقضی نمی شود.

علاوه بر این، AD360 سازمان ها را در رعایت مفاد بخش 164.308 چارچوب HIPAA راهنمایی می کند.

ویژگی های حسابرسی AD360 برای تطابق با HIPAA

قانون ساربانز-آکسلی (SOX)

SOX که در سال ۲۰۰۲ توسط کنگره ایالات متحده معرفی شد، هدف دارد تا رویه های مالی کلاهبردارانه شرکت ها و تأثیر آن بر سرمایه گذاران را مهار کند. اهداف کلیدی این قانون ایجاد کنترل های داخلی قابل اعتماد، افشای مالی شفاف، زیرساخت های حسابرسی کارآمد و سیاست گذاری میان شرکت ها است. انطباق SOX در زیرساخت فناوری اطلاعات با ایجاد سیستم مدیریت هویت و دسترسی مناسب که به مدیریت کنترل های داخلی شرکت کمک می کند، محقق می شود. AD360 گزارش های Active Directory را انجام می دهد که می توانند تحت بخش هایی از تطابق SOX مانند موارد زیر دسته بندی شوند:

• سیاست ها و رویه های امنیتی
• تحلیل و مدیریت ریسک
• بازیابی پس از فاجعه
• ممیزی

AD360 همچنین به سازمان ها کمک می کند تا بندهایی را که تحت بخش ۳۰۲ SOX قرار دارند، رعایت کنند؛ ماده ای که مجموعه ای از رویه های داخلی را الزامی می کند که برای تضمین انطباق مالی ایجاد شده اند.

ویژگی های حسابرسی AD AD360 برای تطابق با SOX

استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS)

یکی از مهم ترین سیاست های نظارتی در فضای صنعتی در حال حاضر، هدف اصلی چارچوب PCI DSS استانداردسازی و تأمین امنیت رویه های عملیاتی و فنی مرتبط با اطلاعات کارت های پرداخت است. هر کسب وکاری که جزئیات کارت پرداخت را می پذیرد یا پردازش می کند باید با PCI DSS مطابقت داشته باشد.

از آنجا که قانون مستقیما به جنبه تراکنشی کسب وکار می پردازد، رعایت PCI DSS می تواند اطمینان بیشتری به مشتریان درباره امنیت اطلاعات مربوط به کارت هایشان بدهد. انطباق PCI DSS سازمان ها را قابل اعتماد و قابل اعتماد می کند. با AD360 در راس، دسترسی محدود به داده های دارندگان کارت می تواند با پیاده سازی احراز هویت دو مرحله ای و انجام گزارش هایی درباره تلاش های ورود، تغییرات سیاست های حسابرسی و تغییرات مجوزها و سایر عملیات ها اعمال شود.

ویژگی های ممیزی AD AD360 برای تطابق با PCI-DSS

قانون مدیریت امنیت اطلاعات فدرال (FISMA)

این قانون فدرال آمریکا که در سال ۲۰۰۲ تصویب شد، سازمان های فدرال را ملزم می کند تا زیرساخت ها و دارایی های داده ای حیاتی خود را ایمن کنند. AD360 دارایی های فدرال را با نظارت بر محیط سرور ویندوز سازمان و اطلاع رسانی درباره تغییرات از طریق اعلان های ایمیل و گزارش های دوره ای ایمن می کند. AD360 دارای کیت تطابق FISMA برای تسهیل فرآیند پایبندی است.

ویژگی های ممیزی AD360 برای تطابق با FISMA

مقررات عمومی حفاظت از داده ها (GDPR)

یک چارچوب مقرراتی که باید توسط سازمان هایی که از اتحادیه اروپا فعالیت می کنند یا به مشتریان عضو اتحادیه اروپا خدمت می کنند، رعایت شود. GDPR به تأمین امنیت داده های شخصی مشتریان، کارکنان و مشتریان بالقوه ای که توسط یک شرکت نگهداری می شوند می پردازد. AD360 اطمینان می دهد که سازمان ها به تدابیر مناسب مجهز هستند تا رعایت مقررات GDPR را تضمین کنند. با AD360، سازمان ها می توانند:

• اعضای گروه های مشخص شده و جزئیات گروه را مشاهده کنید.
• پوشه های مشترک موجود در سرورها را شناسایی کرده و مجوزهای پوشه های مشترک را بررسی کنید.
• حقوق دسترسی کاربران و گروه ها را در پوشه ها در مسیرها یا مکان های مشخص فهرست کنید.
• ببینید کدام مجوزهای پوشه و سرور توسط حساب های کاربری مشخص شده وجود دارد.
• کاربران و گروه هایی که به سرورهای خاص دسترسی دارند را فهرست کنید.
• افراد مربوطه را در درخواست هایی که مطرح شده، بررسی یا تأیید شده اند، مطلع کنید.
• قوانینی برای ارزیابی و تخصیص درخواست ها به تکنسین های مناسب ایجاد کنید.
• اقدامات مدیریتی که باید توسط تکنسین ها انجام شود را بازبینی کنید.
• درخواست های جریان کاری که ایجاد و به میز کمک اختصاص داده شده اند را مشاهده کنید.
• تمام اقدامات انجام شده توسط تکنسین های میز کمک را فهرست کنید.

علاوه بر این، AD360 می تواند داده های شخصی سازمان ها را با بررسی تلاش های ورود برای شناسایی دسترسی غیرمجاز تقویت کند. با فراهم کردن دید اطلاعات ورود، افزایش امتیازات و سایر تغییرات در چرخه عمر کاربر، AD360 توانایی سازمان ها را در شناسایی نقض اطلاعات افزایش داده و در عین حال اطمینان از رعایت مقررات GDPR را تضمین می کند.

ویژگی های حسابرسی AD AD360 برای رعایت مقررات GDPR

قانون گرام-لیچ-بلیلی (GLBA)

این سیاست که با نام قانون مدرن سازی خدمات مالی نیز شناخته می شود، از مؤسسات مالی—شرکت هایی که محصولات یا خدمات مالی مانند وام، مشاوره مالی یا سرمایه گذاری یا بیمه به مصرف کنندگان ارائه می دهند—را ملزم می کند که درباره شیوه های اشتراک گذاری اطلاعات خود با مشتریان شفاف باشند و از داده های حساس محافظت نمایند. GLBA که الزام انطباق اجباری برای هر سازمان مالی است، همچنین بیان می کند که شرکت ها باید دارایی های خود را از تهدیدات قابل پیش بینی امنیت و یکپارچگی داده ها محافظت کنند. AD360 اقدامات پیشگیرانه را با نظارت ۲۴ ساعته و گزارش ها و هشدارهای از پیش پیکربندی شده آسان برای مشاهده ارائه می دهد.

ویژگی های حسابرسی AD360 برای تطابق با GLBA

ISO 27001

بر نیاز شرکت ها به ایجاد، پیاده سازی، مدیریت و بهبود مستمر یک سیستم مدیریت امنیت اطلاعات در چارچوب یک سازمان تأکید دارد. استاندارد ISO 27001 شامل ۱۱ بند است که از این میان، چهار تا ۱۰ بند الزامات اجباری برای برآورده شدن را تعریف می کنند. ADAudit Plus AD360 داده های لاگ رویداد را از کنترلرهای دامنه Active Directory (AD)، سرورهای فایل، سرورهای ویندوز و ایستگاه های کاری شما به گزارش ها و هشدارهای بلادرنگ تبدیل می کند.

ویژگی های حسابرسی AD AD360 برای تطابق با ISO 27001

قانون عمومی حفاظت از داده های برزیل (LGPD)

LGPD مسئول جمع آوری، استفاده و پردازش اطلاعات شناسایی شخصی در برزیل است. LGPD سازمان ها را موظف می کند تا برنامه ای برای پاسخ به حادثه اجرا کنند که شامل گزارش دهی سریع حوادث امنیتی باشد. با گزارش های قابل سفارشی سازی که می توانند در قالب های مختلف فایل تولید شوند، ManageEngine AD360 می تواند گزارش دهی و پاسخ دهی حوادث سازمان را برای کمک به رعایت مقررات LGPD ارتقا دهد.

برای مثال، یکی از ویژگی های برجسته AD360 پایش یکپارچگی فایل است که به مدیران فناوری اطلاعات امکان می دهد هرگونه تلاش غیرمجاز کاربران برای دستکاری یا تغییر محتوای اسناد حیاتی را شناسایی کنند.

ویژگی پایش یکپارچگی فایل AD360

---