如何确保您的风险管理框架符合 PCI DSS v4.0 标准
但是,如何确保贵组织新的和改进的风险管理流程满足 v4.0 标准的相关要求?我们为您提供了更多提示。
虽然这并不是一个全面的清单,但这些项目确实涉及到几个方面。
- 您应根据组织的整体动态和风险状况,以相应的频率进行风险分析。(具有讽刺意味的是,这本身就需要一些记录在案的风险分析来确定频率)。
- 在任何要求 "定期 "或 "及时 "进行控制的地方,你都应该用记录在案的风险分析来支持这种频率。
- 将漏洞管理程序与风险管理程序结合起来。您可以将二者作为现有威胁和风险的信息来源。
- 如果您决定采用 PCI DSS v4.0 规定的 "定制方法",则需要在风险概况参数范围内,对该控制措施进行有据可查的风险分析。如上所述,该分析还应涉及控制目标。
- 同样,对于任何补偿性控制措施,都需要有正式的、记录在案的风险分析,证明补偿性控制措施是如何解决所带来的风险的。
- 如果你确实对控制措施使用了例外政策,那么它必须与你记录在案的可接受风险水平保持一致。由于升级后的风险管理将进一步限制任何例外情况的发生,因此您可能需要修改例外情况管理。
- 在 "业务常态"(BAU)要求下,风险评估被列为可能改变环境范围的安全影响变更的最佳实践。确保将其作为最佳实践使用。
对于 PCI DSS v4.0 中的其他领域,我们在此未涵盖的任何内容,您都可能需要在逐项要求的基础上加以解决。但是,如果下次有人问起为什么某项控制措施会以这种方式运行,而你又能为他们提供可靠的文件分析,那么你就不会出错。
