文件名称:使用风险管理技术的法规遵从性建模-研究论文
文件大小:911KB
文件格式:PDF
更新时间:2024-06-30 01:26:15
Regulatory Compliance Cyber
我们描述了一种新的监管合规决策支持方法,该方法利用了遵循 ISO 27005 的基于资产的网络安全风险管理方法,并通过一个基于通用数据保护条例 (GDPR) 的示例来说明这一点。 以前在法规遵从性建模和决策支持方面的工作利用语义词汇和推理技术,我们的方法的主要好处是法规遵从性与风险管理的其他领域相结合,因此来自网络安全等领域的洞察力与隐私法规遵从性相结合可以基于用户的社会技术基础设施的单一模型获得。 本文的主要贡献是: 展示如何在基于资产的风险管理框架中将监管要求建模为“合规威胁”; 说明从 GDPR 的法律文本到域资产、流程和关系、合规性威胁以及缓解威胁的控制策略的映射; 展示如何通过基于资产配置的识别模式来触发威胁; 说明不同类型的监管要求,例如义务、禁令和克减条件,如何在此类计划中体现; 最后描述如何对为解决合规威胁而做出的选择与下游附加合规要求之间的因果关系进行建模。