最近,网络攻击的激增加剧了安全问题,因此,组织机构需要采用符合各行各业和政府法规的IT策略。NIST、PCI-DSS、FISMA、HIPAA、NERC-CIP、ISO-IEC 27001、SOX和其他机构制定的标准要求组织机构在其基础设施周围部署有效的控制,并通过报表证明其合规性。这些条例的一些基本安全规定包括:
Password Manager Pro(PMP)作为保护特权帐户和管理远程访问的完整解决方案,帮助组织通过强大的存储机制、完善的用户身份验证制和配置来实现IT合规性。它还提供了细粒度访问控制、自动密码重置、特权用户活动监控、检测功能和抗抵赖测量方法。
此外,PMP通过提供传递组织安全性的审计报表,为各种合规性审计提供帮助。
PMP帮助解决支付卡行业的安全需求,如PCI-DSS第2、3、7、8、10和12节所述。简而言之,这些部分要求使用强密码保护敏感数据、更改系统默认密码、在“需要知道”的基础上限制对信息的访问、使用强密码并定期轮换、持续监视特权访问、实施企业范围的策略来标准化信息安全实践。
ISO/IEC 27001要求在组织中建立、维护和持续改进信息安全管理系统。PMP遵守ISO/IEC 27001的第A.9条规定(该条规定涉及“访问控制”),这项规定要求组织使用一个完善的信息安全策略,以确保只有授权用户才可以访问关键系统,所有用户都有其唯一的标识,并且为所有特权活动建立问责制,只允许其通过安全机制访问系统,同时敏感信息要被加密控制保护。
PMP的ISO/IEC 27001合规性报表代表了组织的合规性级别(如条款A.9中所述的安全控制要求)。
能源组织被要求遵守NERC-CIP,该规定列出确保电力系统安全和可靠性的标准。PMP遵守条款CIP-004-3a、CIP-005-3a和CIP-007-3a。简而言之,这些条款要求定期审查有权访问关键系统的授权人员、基于功能角色的细粒度访问控制、完善的身份验证方法、安全事件的全面审计、特权会话期间对用户活动的监视以及使用具有可靠复杂性的强密码。
一般数据保护条例(GDPR)是由欧洲议会提议并通过的一套全面的标准,用于保护所有欧盟公民的个人信息及其隐私。GDPR在第4条中明确地将个人信息范围界定为:“与身份或可识别的自然人(数据主体)有关的任何信息”。这里的“可识别的自然人”是指,通过诸如:姓名、身份证号码、位置数据、在线身份识别码或特定于该自然人的身体、生理、遗传基因、精神、经济、文化或社会身份的一个或多个标识符,可直接或间接识别的人。任何与欧盟居民个人数据相关的机构组织都必须遵守GDPR,而不论其位于何处。
作为IT安全工具,PMP遵守GDPR,对于任使用该工具来管理其特权账户凭证以及远程访问敏感资源的任何组织机构都至关重要。请牢记这一点,PMP提供了一套以GDPR为重点的规定,以维护数据主体的权利,并确保他们的个人数据在任何时候都得到完全保护。