コンプライアンスにおける CISO の役割とは?

Allianz Partners のグループ情報セキュリティ責任者、Frédéric Jesupret とのディスカッション

PCI Standards Security Council が 4.0 月 31 日に PCI DSS のバージョン XNUMX をリリースして以来、これは世界の決済およびコンプライアンス業界における議論の中心となっています。

新しいプライバシー規制が作成および更新されるにつれて、プライバシー管理に関する議論が世界中で増加しています。

私は最近、Allianz Group のグローバル アシスタンスおよび保険サービス子会社である Allianz Partners のグループ情報セキュリティ オフィサーである Frédéric Jesupret 氏に、PCI DSSv.4.0 への準拠の変更、国際規制の管理における重要な要素、トレーニング、およびコンプライアンスの課題について話しました。

PCI DSS v4.0 の進化 – 新機能

PCI DSS v4.0 は、コンプライアンスを新たなレベルに引き上げ、決済業界のセキュリティを強化する提案と共に今年登場しました。 ただし、企業は、新しい規格を自社の範囲に組み込む準備をしなければなりません。

新しい標準により、企業はさまざまな方法でセキュリティ要件を満たすことができます。

Frederic 氏によると、課題は、企業が新しい標準とシステムの要件に適応する必要があることです。 しかし、彼は、PCI DSS v.4.0 は企業にとって重要なステップになるだろうと付け加えています。

複数の枠組みや国際規制の管理

グローバル企業は、地域および国際的なプライバシーとデータ保護の規制に従う必要があります。 これは、特に国のデータ保護規制がますます厳しくなっているときに、複雑な管理プロセスにつながります。

これに関して、フレデリックは次のようにアドバイスしています。

• ISO27001などの社内規格に準拠。
• 地域のエンティティがコンプライアンスを達成するのに役立つテンプレートを準備します。
• IT セキュリティと IT リスクに対する標準化されたアプローチを採用して、標準レポートを生成します。
• すべての要素を管理するために同じアプローチを採用します。

知識とコンプライアンスを維持するための重要なアドバイス

複数の枠組みや規制について交渉することは、CISO にとって非常に困難な場合があります。

フレデリックにとって、コンプライアンスに遅れをとらないことは「終わりのない話」であり、多くの読書、インターネット調査、および Vigitrust 諮問委員会のような貴重な情報チャネルの使用が必要です。

これに加えて、コンプライアンスを維持するという課題があります。 Frederic 氏が言うように、「短期間で別のコンプライアンス マイルストーンに到達するために集中しなければならないのは、日々のタスクです。」