企业对企业安全披露和协议

Question

寻找涵盖信息披露、信息安全实践的模板，这是企业对企业之间共享数据的合作伙伴关系中的标准做法。

例如：

• 访问管理
• 密码管理
• 存储中的数据加密
• 传输中的数据加密
• 审计意见和审计权
• 销毁数据
• 违反通知
• 披露以往任何违约行为，价值超过3,000美元
• 等

也就是说，这更多的是面向小到小的公司，每家公司有50-150人。

Answer 1

与某些安全实践签订业务合同的一个非常常见的领域是与需要遵守PCI规范的信用卡公司签订合同的商家。如果SOX和PCI遵从性与您的问题不同，标准是由独立的第三方制定的，而两个缔约方基本上同意遵守该独立的标准。

由于该标准是客观的，并且是由第三方维护的，因此有人可以对公司的合规情况进行审计，事实上，大多数商家协议都需要PCI遵从性测试。

虽然这可能有些过分，但您可能有一份合同要求您的合作伙伴遵守NIST标准或联邦信息处理标准 (FIPS)。通过编写诸如“X公司保证它将遵守X标准”等简单的语言，而不是试图将一项标准的规定纳入合同中，在发生违约或争议时，解决办法就会简单得多，而且成本也会低得多，因为它试图就合同的规定进行争论，这就变成了一个简单的问题，就是让熟悉参考标准的第三方专家对该标准的遵守情况发表意见。

最后，您不需要遵从整个FIPS集；例如，您可以引用FIPS 197作为数据加密，FIPS 112用于密码。

Answer 2

您所描述的策略类似于SOX所需的策略。可以购买SOX策略模板(例如：http://www.psrinc.com/sox.htm)。NIST有许多可以在这里帮助您的文档：http://csrc.nist.gov/groups/SMA/fasp/archive.html