PCIポリシー管理ソフトウェア?
私は、当社をPCI準拠にするプロジェクトに取り組んでいます。私が直面している重要な問題の1つは、組織内のPCI /セキュリティポリシーの管理です。
ポリシーの作成と配布は私が担当します。ポリシーを引き渡すと、ユーザーがドキュメントに署名したり、ドキュメントを維持したりしないことがよくあります。人々にドキュメントに署名させようとするだけで、管理者のオーバーヘッドがたくさんあるようです。
ポリシーを取り巻くプロセスとメンテナンスを自動化するために使用できるソフトウェアを知っている人はいますか?
重要だと思う主な機能は次のとおりです。
- ユーザーに新しいポリシー/更新されたポリシーを承認させる自動化された方法
- 所有者の割り当て
- 新しいポリシーを策定するためのテンプレート
どんな提案も素晴らしいでしょう。予算が限られているため、費用効果の高いソリューションが必要です。
Wikiを使用してポリシーを保存し、バージョン管理などを行うことをお勧めします。変更日、承認日、発効日など、証拠として必要なドキュメント管理情報を含むテンプレートを作成することもできます。軽量のウィキで逃げましょう。ただし、SharePointまたはKnowledgeTreeを使用している場合は、それらが最適な方法かもしれません。 Semantic Media Wiki も良い選択かもしれません。個々のポリシーと相互参照の追跡をはるかに容易にする、該当するPCI要件などのキーワーとタグを埋め込むことができるため、wikiルートも優れています。
PCIスコアリングガイダンス を見ると、12.6.2が
12.6.2セキュリティ意識向上プログラムでは、情報セキュリティポリシーを読んで理解したことを、少なくとも年に1回、書面または電子的に確認する必要があることを確認します。
常に自分のQSAに相談してください。ただし、グループが十分に小さい場合は、これを12.6.1の年次トレーニングと何らかの形で組み合わせることができます。サインインシートとポリシーサインオフ用の別の列を使用してトレーニングセッションを行います。
Outlookを使用している場合は、投票ボタン機能を使用して回答を収集できますが、調査の質問を作成できる何らかの種類の調査Webアプリを実装することをお勧めします。あなたは非常に厳密に彼らが読んだものでそれらをテストすることができます、しかしあなたの基本は名前フィールド、チェックボックス、そして多分デジタルサインオフのためのイニシャルのための追加のフィールドでしょう。 SharePointを使用している場合も、これを使用して調査を収集できます。
私はなじみがありませんが、簡単に検索して次のことを思いつきました。
- policyIQ (商用ポリシー管理ソフトウェア)
- Power DMS-ポリシーワークフロー (別の商用ソリューション)
もっとカスタムな解決策があるかもしれませんが、使いやすい内部wikiが通常最良のアプローチであることがわかりました。これにより、多くのユーザーがポリシーを更新し、バージョン管理を提供し、すべての従業員が会社のポリシーの最新バージョンに簡単にアクセスできるようになります。
個人がポリシーに署名することについての懸念には対処していませんが、DSSポイント12.6.2では、ポリシーを読んで理解したことを担当者が毎年確認する必要があります。これは、電子メールまたは電子メールでデジタルで行うことができます。それ以外の場合は、物理的な署名である必要はありません。
これが私がお勧めするWikiのいくつかです:
- TWiki -無料
- DokuWiki -無料
- Confluence -有料
- Django Wiki -無料
編集
これを投稿して以来、私は謝辞にもwikiを使用しているのを観察しました。各ユーザーが独自のアカウントを持っている限り、その年の署名用のページ(つまり、「2015 Policy Acknowledgements」)を作成でき、誰でもそのページを編集して、Wikiのポリシーを読んだ/同意したことを証明する名前を追加できます。 。 Wikiはバージョン管理されており、通常、履歴の変更に対してページの差分を許可するため、一意のユーザーアカウントごとに名前がページに追加されていることがわかります。電子メールと同じくらいの保証を提供し、すべての確認応答を1つの明確なページに保持できるという利点があります。
Django Wikiからの変更ログの例は、変更と変更を行ったユーザーを示しています。
そのようなシステムが存在することは確かですが、私はそれを行う特定のシステムを手に負えないことに気づいていません。そうは言っても、私の経験では、あなたが探しているソフトウェアは人間です。
- 人々はシステムからのリマインダーメールを無視し、人間は無視するのがより困難です。
- 人間は責任の領域に関する知識を適用し、右人々に思い出させることができます。
- 人間は、PCI/QSA要件と、システムでは不可能なビジネスで確立されたドキュメントベースとの間に翻訳スキルを適用できます。
- 要するに、PCIコンプライアンスはプロジェクト管理の問題であり、ソフトウェアはプロジェクトを管理しません。
はい、これらの義務は、少なくとも年に一度、その人間からの重要なリソースを拘束します。 PCIコンプライアンスが必要な理由によっては、それだけの価値がある場合があります(たとえば、マーチャントは、支払い処理業者よりもコンプライアンス監査プロセスの完成を重視しない場合があります。コンプライアンスを失った場合のペナルティは、支払い処理業者の方が厳しくなります)。残念ながら、それはコンプライアンスゲームの名前です。多くの人が、セキュリティへのコンプライアンスを混同してはいけないと言います。また、それが効率的に実行できると思い込んではいけません。
私の最後の会社はEtQリライアンスを使用していました。しかし、それは安くも使いやすいものでもありませんでした。
EtQの前は、紙ベースのシステムを使用しており、ドキュメントのトレーニングを受けてサインオフしていない場合は、そのドキュメントの目的を実行できないというルールに従うようにしました。また、プロセスの管理者は、ドキュメントを作成してサインオフしない限り、本番環境に移行することはできません。
しかし、それはすべて非常に時間がかかります。
これが技術的な解決策で最もよく対処される問題であるかどうかはわかりません。
あなたの経営陣は、PCIコンプライアンスを取得することがビジネス要件であると私は推測しますか? (そうでない場合、なぜあなたはそれを試みますか?)
次に、作業を行わないユーザーがいる場合、上司は彼らが行うまで彼らに怒鳴る必要があります。企業ポリシーはオプションではありません。
(今、私はあなたがあなたのユーザーのためにシステムをよりスムーズに動かすことを考えるべきではないと言っているのではありません。あなたは常にそうしようとすべきです。しかし:彼らはその間仕事をスキップすることを許されていません。)
MetaComplianceをお勧めします-それらには、ガバナンス、リスクとコンプライアンス(GRC)、情報セキュリティと保証をカバーする一連の ポリシー管理ソフトウェアソリューション (SaaS)があります。彼らのソフトウェアは、これらの領域を扱うときに最大のユーザー参加を奨励します。
このソフトウェアは、ISO 27001、ITIOL、およびCOBIT Governance Frameworksに準拠しており、コンテンツの活動性の学習、リスク管理、監査人および規制当局向けのレポートの作成に関する指標を含む、優れた一連のレポートツールが含まれています。
モバイルデバイスで動作します
解決策を見つけたかどうかはわかりませんが、チェックアウトしない場合は- MetaCompliance Policy Management Software Solution これは、ポリシーを作成してスタッフやサードパーティベンダーに配布するのに最適なポリシー管理システムです。ポリシーの配布を自動化し、スタッフが確実にサインアップするようにする施行機能を備えています。すべての応答がキャプチャされ、読みやすい監査とレポートに表示されます。これがお役に立てば幸いです(Karen McNaught、マーケティングマネージャーMetacompliance)。