当今的企业拥有比以往更多的数据，随之而来的是与如何存储、共享、保护和使用这些信息相关的大量责任。

最近困扰 Facebook 和 Cambridge Analytica 等公司的丑闻清楚地说明了如果数据被滥用会发生什么，因此很明显，如果任何公司未能保护机密信息，它们都可能遭受严重的声誉损害。

但如果公司被发现存在粗心或不道德行为，也可能会受到经济处罚。事实上，在过去几年中，随着当局寻求收回对目前存储在世界各地服务器和云中的大量数据的控制权，企业需要遵守的法规的数量和复杂性显着增加。

针对违规行为开出的罚款金额也有所增加，这使得这一点比以往任何时候都更加重要。

除了每家公司都必须了解的关键一般数据保护规则外，公司还必须考虑一系列特定于行业的合规问题。

数据合规性是指企业必须遵守的任何法规，以确保其拥有的敏感数字资产（通常是个人身份信息和财务详细信息）免遭丢失、盗窃和滥用。

这些规则有多种形式。它们可能是行业标准、州或联邦级法律，甚至是 GDPR 等超国家法规，但它们通常会详细说明需要保护哪些类型的数据、哪些流程在立法下被认为是可接受的，以及什么是需要保护的。不遵守规则的公司将受到处罚。

重要的是不要将数据合规性与数据安全性混淆。这两个过程通常捆绑在一起并被称为可以互换，但事实并非如此。

虽然他们有相同的目标 - 最大限度地减少和管理企业面临的风险 - 合规性只能确保你满足法律规定的最低标准。另一方面，数据安全涵盖了定义你如何管理敏感数据并防止泄露的所有流程、程序和技术。

仅仅因为你合规，并不意味着你是安全的，虽然采取最低限度的措施可能会在发生数据泄露时为你提供一些法律保护，但它不会使你免受安全带来的许多其他后果事件，例如财务损失和声誉损害。

作为最新且最广泛的标准之一，欧盟的《通用数据保护条例》 (GDPR) 在过去一年中一直难以被忽视。

该法案于 2018 年 5 月 25 日生效，制定了一系列规则，涉及人们有权了解企业拥有哪些数据、公司应如何处理这些数据，以及关于报告违规行为的更严格规则。

它也不仅仅适用于总部位于欧洲的公司。如果你与受欧盟管辖的任何个人开展业务，则必须遵守 GDPR 的规定。

这似乎是一项艰巨的任务，但任何公司为确保遵守 GDPR 需要采取的第一步是指派专人监督其活动。

此人（即数据保护官）在某些使用大量数据的组织中是强制性的，他们的工作是监督数据保护策略和实施，以确保符合 GDPR 要求。

HIPAA，更正式的 1996 年健康保险流通和责任法案，规定了处理个人医疗保健和医疗数据的美国组织需要如何确保这些记录的安全性和机密性。

由于这些详细信息是组织将持有的一些更敏感的记录，因此未能保护这些信息的处罚可能会很严重。

例如，2018 年，在一次黑客攻击泄露了近 7900 万人的健康信息后，保险公司 Anthem 同意支付1600 万美元的罚款。

HIPAA 要求所有电子健康记录仅限于有正当理由查看的人，因此加密和强大的访问控制是必须的。

这些标准不仅适用于数据库中的记录，也适用于共享记录，因此还必须采取措施确保电子邮件和文件传输等活动得到充分监控、保护和控制。

HIPAA 的一个关键特征是它要求完整的审计跟踪，详细说明某人与此数据的每次交互。这意味着事件日志管理软件是 IT 人员确保遵守这些法规的重要工具。

这可确保每次访问或更改文件时自动保留完整记录，并且还可以帮助组织在任何潜在的安全漏洞发生时立即发出警报。

对于处理客户财务信息的企业来说，支付卡行业数据安全标准 (PCI DSS) 是任何合规流程的重要组成部分，因为它规定了有关公司如何处理和保护信用卡号等持卡人数据的规则。

与此列表中的其他规则不同，PCI DSS 不是政府强制执行的一套规则，而是行业规则。

然而，这并没有降低它的重要性，因为任何被发现不遵守其规则的公司都可能面临巨额罚款，甚至终止与银行或支付处理商的关系，使公司很难接受卡支付。

即使公司使用第三方服务来处理卡支付（许多大大小小的企业都是如此），商家仍然有责任确保其收集、传输或存储的任何信用卡或借记卡数据的安全。

公司必须采取的具体步骤取决于他们实际处理的交易数量 - 那些拥有更大客户群的公司将面临更严格的要求 - 但最终，PCI DSS 标准要求企业确保一定程度的安全性。

幸运的是，支付卡行业安全标准委员会制定了一系列步骤，详细说明了公司必须采取哪些措施才能满足这些标准。

这12 项基本要求涵盖从建立适当的防火墙来保护持卡人数据（要求 1）到定期测试系统和流程（要求 11），因此没有理由不制定明确的计划来满足这些标准。

2002 年《萨班斯-奥克斯利法案》(SOX) 旨在防止几年前席卷安然等公司的公司会计丑闻重演。

因此，它更多的是关于财务报告而不是数据保护，因此 IT 专业人员可能会认为它不如他们必须处理的其他一些法规那么重要。

然而，事实并非如此，IT 部门在确保满足这些要求方面确实发挥着明确的作用。

首先，他们需要向首席执行官和首席财务官提供帮助，确保他们收到有关公司财务状况的实时报告。这意味着建立系统来自动报告并设置警报，以便在发生需要密切关注的关键事件时触发。

IT 团队还需要确保正确保留所有记录。因此，及时有效地备份关键信息和文档管理系统对于保持遵守这些法规至关重要。然而，他们还必须确保对公司数字资产的每个部分都有充分的了解，才能使其有效。

电子表格、电子邮件、即时消息、电话录音和财务交易都需要保存至少五年，以防审计人员需要，因此建立正确的管理系统至关重要。

最终，IT 专业人员在遵守 SOX 时的工作是确保记录保存和审计尽可能顺利进行。自动化工作流程、管理和监控数据流以及快速归档和检索信息的工具都将在这方面发挥关键作用。

《加州消费者隐私法案》(CCPA) 于 2018 年通过成为法律，并于 2020 年 1 月 1 日生效。

这是许多美国企业将面临的最严厉的消费者保护措施之一。它被描述为相当于加州的 GDPR，虽然在报告要求等领域不如 GDPR 那么严格，但在某些方面甚至比欧洲同行更严格。

例如，它对私人数据的定义有更广泛的看法，包括可以从中推断出的任何信息，以创建反映一个人的“偏好、特征、心理趋势、倾向、行为、态度、智力、能力和资质”。

虽然这将许多小型公司排除在其范围之外，但这意味着几乎所有与加利福尼亚州客户互动的中型或大型组织都将被覆盖。

这可能使得它比 GDPR 对许多美国公司更重要，因为虽然一些组织选择完全停止在欧洲开展业务以避免这一规定，但对他们来说绕过 CCPA 可能要困难得多，因为他们不必总部设在加利福尼亚州，或者甚至在该州有实际存在，都符合其规定。

数据泄露的潜在罚款高达每条记录 7,500 美元，而且考虑到近年来许多大型数据泄露事件已经泄露了数千万甚至数亿条记录，违规成本可能很快就会增加。

ISO 27001，也称为 ISO/IEC 27001，是信息安全管理系统 (ISMS) 的国际标准。

它由国际标准化组织(ISO) 和国际电工委员会 (IEC)发布，为组织管理和保护其信息资产提供了一个框架。

ISO 27001 的目的是帮助组织建立、实施、维护和持续改进 ISMS。本标准适用于任何组织，无论其规模或业务性质如何。它对于管理大量数据的组织尤其重要，例如金融机构、IT 公司和政府实体。

ISO 27001 的一个重要部分是识别和评估信息安全的潜在风险。组织应系统地检查其信息安全风险，同时考虑威胁、漏洞和影响。

他们还需要设计和实施一套连贯且全面的信息安全控制措施，以解决那些被认为不可接受的风险。

要获得 ISO 27001 认证，组织必须满足标准中概述的所有要求并通过认可认证机构的审核。认证过程包括对组织的 ISMS 的初步审查、正式的合规审核以及持续的监督审核，以确保持续合规。

FISMA 是 2002 年颁布的美国联邦法律，作为电子政务法案的一部分。

其主要目标是通过建立一个全面的框架来保护政府信息、运营和资产免受自然或人为威胁，从而增强联邦政府及其附属机构（例如政府承包商）内部的计算机和网络安全。

它要求联邦机构制定、记录和实施信息安全计划，以保护其信息和信息系统，包括由其他机构、承包商或其他来源提供或管理的信息和信息系统。该计划包括：

• 风险评估：识别和评估机构运营、资产或个人的风险

• 系统安全计划：实施安全控制并记录系统的安全设置和配置

• 安全控制：实施适当的控制以将风险降低到可接受的水平

• 持续监控：持续监控组织信息系统中的安全控制

美国国家标准与技术研究院 (NIST) 在 FISMA 合规性方面发挥着关键作用。 

NIST 制定并推广必要的标准、指南、测试和验证计划。它还提供了对信息和信息系统进行分类、选择和实施适当控制以及监控其有效性的指南。

联邦机构及其与之开展业务的公司必须遵守 FISMA。它需要对信息安全计划进行年度审查以确定其有效性。这包括测试信息系统中的安全控制以及开发基于风险的、具有成本效益的安全策略。

FISMA 合规性可能是一个复杂的过程，但它显着增强了联邦信息系统的安全性。不遵守规定可能会导致预算制裁和声誉受损，这可能会对机构履行其使命的能力产生重大影响。

《隐私法》是一项立法，旨在通过规范个人信息的处理方式来保护个人的隐私权。在美国，1974 年的《隐私法》是一项联邦法律，管辖联邦机构记录系统中维护的个人身份信息的收集、维护、使用和传播。

在澳大利亚，1988 年《隐私法》和 2012 年《隐私修正案（加强隐私保护）法》是保护个人信息的关键法律。

该法案规定，实体必须以尊重个人隐私的方式收集、存储、使用和披露个人信息。这包括直接从个人收集个人信息，在某些情况下还从第三方收集个人信息。

《个人信息保护和电子文件法》（也称为 PIPEDA）是加拿大私营部门的主要隐私法。它规范企业在商业业务过程中如何收集、使用和披露个人信息。

PIPEDA 要求组织告知个人其数据收集和使用实践，并征求他们的同意。它还使个人能够访问和更正这些组织持有的个人信息，从而保护个人的权利。

遵守 PIPEDA 对于在加拿大运营的所有私营部门组织至关重要。不遵守规定可能会导致高达 80,000 美元的罚款和法律诉讼。

出于多种原因，数据合规性至关重要。它不仅可以提升公司的形象，因为遵守有关数据的法律和法规展示了公司对道德商业行为的承诺，而且还可以培养客户忠诚度，因为消费者越来越看重尊重他们的隐私和保护他们的数据的公司。

拥有强大的数据合规结构可以吸引重视在负责任和道德环境中工作的高素质员工。

合规性还确保企业遵守不断变化的法规，防止法律影响和潜在的罚款。这一点尤其重要，因为数据泄露可能会严重损害公司的声誉并导致代价高昂的诉讼。