규정 준수에서 CISO의 역할은 무엇입니까?

Allianz Partners의 그룹 정보 보안 책임자인 Frédéric Jesupret과의 토론

PCI Standards Security Council이 4.0월 31일 PCI DSS 버전 XNUMX을 발표한 이후, 이는 글로벌 결제 및 컴플라이언스 업계에서 논쟁의 중심이 되었습니다.

새로운 개인 정보 보호 규정이 생성 및 업데이트됨에 따라 전 세계적으로 개인 정보 관리에 대한 논의가 증가하고 있습니다.

저는 최근에 Allianz Group의 글로벌 지원 및 보험 서비스 자회사인 Allianz Partners의 그룹 정보 보안 책임자인 Frédéric Jesupret와 국제 규정, 교육 및 규정 준수 문제 관리의 핵심 요소인 PCI DSSv.4.0 규정 준수 변경 사항에 대해 이야기했습니다.

PCI DSS v4.0의 진화 – 새로운 기능은 무엇입니까?

PCI DSS v4.0은 규정 준수를 새로운 수준으로 끌어올리고 지불 산업의 보안을 강화하기 위한 제안과 함께 올해 등장했습니다. 그러나 기업은 새로운 표준을 해당 범위에 통합할 준비를 해야 합니다.

새로운 표준을 통해 기업은 보안 요구 사항을 충족하기 위해 다양한 방법을 사용할 수 있습니다.

Frédéric에 따르면 문제는 기업이 새로운 표준과 시스템 요구 사항에 적응해야 한다는 것입니다. 그러나 그는 PCI DSS v.4.0이 "새로운 표준이 우리의 규정 준수를 개선하고 향후 다른 가능한 표준을 준수할 수 있도록 준비하는 데 도움이 될 것"이기 때문에 회사에 중요한 단계가 될 것이라고 덧붙였습니다.

여러 프레임워크 및 국제 규정 관리

글로벌 기업은 국내 및 국제 개인정보 보호 및 데이터 보호 규정을 준수해야 합니다. 이는 특히 국가 데이터 보호 규정이 점점 더 엄격해지는 시기에 복잡한 관리 프로세스로 이어집니다.

이와 관련하여 Frédéric은 다음과 같이 조언합니다.

• ISO27001과 같은 회사 표준을 준수합니다.
• 현지 법인이 규정 준수를 달성하는 데 도움이 되는 템플릿을 준비합니다.
• IT 보안 및 IT 위험에 대한 표준화된 접근 방식을 채택하여 표준 보고서를 생성합니다.
• 모든 요소를 ​​관리할 때 동일한 접근 방식을 채택하십시오.

교육 및 규정 준수를 위한 주요 조언

CISO가 여러 프레임워크와 규정을 협상하는 것은 상당히 어려운 일입니다.

Frédéric에게 규정 준수에 보조를 맞추는 것은 많은 독서, 인터넷 조사 및 Vigitrust 자문 위원회와 같은 귀중한 정보 채널의 사용을 필요로 하는 "끝없는 이야기"입니다.

이와 함께 규정을 준수해야 하는 과제도 있습니다. Frederic이 말했듯이 "곧 우리가 또 다른 규정 준수 이정표에 도달하기 위해 집중해야 하는 것은 일상적인 작업입니다."