IT合规性规划：如何维护IT合规性文档

每一个研究信息安全和IT合规性的专家都知道，其实IT合规性文档对于正在进行的IT合规性项目的可行性是至关重要的。那么，为什么这个重要的任务常常被忽略，被归类于那些“以后再做”的事情列表中，并被像垃圾一样扔在各美国企业的桌面上?

记录合规性文档并不麻烦。我们都知道在大型组织中，安全控制的书面说明对于确保合规性工作的延续性是非常重要的。在大型组织中，责任总在部门和部门之间转变，而随着人事的流动，个人之间的责任也在变换。与此同时，很多法规都明确规定需要正式的安全控制文件。然而，维护这个合规性文档是IT合规性活动中最经常被忽略的环节之一。

在这篇文章中，我们讨论一些企业可以用来改善合规性控制文档的方法，开发一个可持续发展的计划来维护安全文档，并了解许多组织需要遵从的具体文档要求。

记录安全控制

任意合规性文档的基本目标都是维护一个组织必须遵守的各项规章制度所授权的所有控制目标列表，然后根据这个有具体控制描述的列表来实现控制目的。组织所使用的一种常见方法是通过逐点详述的基础要求来为项目的各项规章制度指定一份书面合规性计划。这份文档的复杂性取决于包含在每一个规章要求里面的细节程度。一般来说，合规性文档中应该包含一个需求描述，控制描述，最后一次验证控制安全的控制与信息负责人的联系信息。

比如，一份PCI DSS(数据安全标准)合规性计划关于处理要求的 12.1节应该包含以下三个部分内容：

要求：制定、发布、维护和传播一个安全策略，以解决所有PCI DSS要求。

控制描述：企业信息安全策略(可在SharePoint上获取的策略文件夹)的第3节中包含解决每个PCI DSS要求的详细描述。

负责人：Mary Jones， IT策略办公室，x51242

引文