IBM i 解决方案

IBM i solutions for compliance with security regulations

遵守IT安全法规,满足审核员对合规监控的要求, 访问控制, IBM i环境中的数据隐私和精确的安全解决方案

Meeting compliance regulations

组织必须遵循许多安全标准,以遵守数据保护和隐私法规,并避免昂贵的罚款.

Organizations are subject to industry, state and national regulations, 预计其中许多将符合多个监管机构的要求. IBM i安全和控制是一个主要问题,因为这些系统是一个丰富的数据源. 理解和遵循安全标准和规则是当今开展业务的关键方面. Achieving ironclad compliance is more than an IT or legal concern; it is a business imperative.

超过一半的IBM i高级用户相信他们公司的安全投资将集中在安全法规的三个支柱上:合规性, auditing and reporting. 随着数据隐私和安全法规变得越来越复杂, 合规要求只会变得更加难以满足.

security regulations

不管公司所受的具体安全法规是什么, 实现完全符合各种规则可能需要应用多个IBM i安全解决方案.

访问控制

访问控制 解决方案将未经授权的人员排除在IBM i环境之外,同时严格控制经过授权的用户登录后可以做什么. 一个全面的解决方案将通过网络控制评估, communication ports, open source database protocols, command lines and more, triggering alerts if suspicious activity 检测到.

Multi-factor authentication

为了保护敏感数据不被看到,某些规则要求多因素身份验证,因为在授予访问权限之前,用户需要两个或更多的识别因素. In addition to being used to control system logins, 多因素身份验证解决方案可以用于特定的情况,如控制对特定数据库的访问, individual files, or even commands.

Management of elevated privileges

需要对提升的特权进行管理,以保护包括*SECADM权限在内的强大配置文件的使用, *所有bj权限和其他潜在危险的能力. 审计员需要的最佳实践是仅为用户提供执行其工作所需的特权,并仅临时授予所选任务所需的高级权限. 高级权限管理解决方案可以自动地根据需要临时授予高级权限,并可选地记录特权用户所采取的所有操作.

数据隐私 measures

许多法规都要求采取数据隐私措施,以防止未经授权的用户查看个人身份信息(PII), 个人健康信息(PHI)和个人信用卡信息. 加密, 标记, 可提供匿名化和屏蔽解决方案,以保护静态和动态数据的隐私.

Compliance monitoring and reporting

许多法规要求对数据和系统更改进行审计跟踪,这些数据和系统更改可用于证明合规. In some cases, these audit trails must be kept for years. 除了IBM i操作系统内置的日志功能之外, 记录安全事件(如文件解密)的解决方案, changes to sensitive records within a file, 失败的多因素身份验证尝试提供了对安全事件的更大的可见性.

模板驱动的遵从性监视和报告解决方案利用了强大的过滤功能, 查询和映射功能,以分析IBM i日志文件的内容,并确保您的系统仍然符合法规要求. 警报和报告识别需要注意的区域. 这些相同的解决方案可用于监视内部安全策略的遵从性,并标记业务时间以外的文件访问等事件, views of a sensitive spool file, changes to authorization lists and much more.

将这些日志事件转发到SIEM解决方案可以使IBM i安全数据相关联, analyzed and reported upon with data from other platforms.

安全 risk assessments

安全风险评估是主动寻找安全漏洞的必要工具, a practice required by many cybersecurity regulations. 安全风险评估工具和服务应该检查系统值, password settings, library authorities, 开放端口, exit point programs, 更多的工作是编写潜在风险的报告,并提供如何补救这些风险的指导.

安全法规常常跨越国际和行业界线, 影响代表公共和私营部门并在各种市场上经营的组织. 最紧迫的数据隐私和安全法规涉及个人身份信息, healthcare data, and financial transaction in格式ion:

Sarbanes-Oxley Act

这项规定的重点是提高美国上市公司的透明度, especially with regard to their financial reporting.

Auditors must review security policies and standards, access and authorization controls, network security, 系统和网络的监控能力和职责的分离.

Payment Card Industry Data 安全 Standard (PCI DSS)

PCI DSS的主要目标是尽量减少信用卡欺诈的实例和保护消费者支付信息.

Like Sarbanes-Oxley, PCI DSS requires annual compliance reviews, assessing security controls including firewalls, access management, cardholder data protection, 加密, 网络和系统监控和安全测试协议.

健康保险可携性和责任法案

HIPAA旨在确保对个人医疗保健信息的保护.

HIPAA guidelines address areas like 访问控制, in-transit data protection, 系统访问监视和事件响应和报告策略.

General Data Protection Regulation (GDPR)

GDPR是一系列指导方针,规定如何收集与欧盟公民有关的数据, 存储, 和管理.

任何处理属于欧洲公民的数据的组织都必须遵守GDPR的安全标准, 不管他们的总部在哪里,也不管他们的服务器在哪里. Although GDPR’s primary concern is user consent, 它有关于数据泄露事件响应协议的详细规则.

California Consumer Privacy Act (CCPA)

CCPA旨在加强对消费者数据隐私的保护,并包含了广泛的个人数据定义.

与GDPR, 公司应明白,CCPA适用于收集到的任何加州居民的数据, 无论收集或存储数据的公司位于哪里.

Customer Story – Corpbanca

面对挑战,迅速满足智利政府和PCI法规, corpanca实施了Assure Monitoring and Reporting和System Access Manager解决方案,以增强事务审计和访问控制能力. corpanca要求解决方案符合政府监管和报告的规定, protecting sensitive files, and monitoring the behavior of powerful users.

他们选择了Assure Monitoring and Reporting来跟踪和审计对敏感业务文件的更改. 它还允许管理员轻松地生成可读的报告, either ad hoc or on a schedule, 并自动将这些报告发送给相关人员. 这为公司节省了通常需要手工查找的时间, 组织, 格式, and distribute audit data.

读 the case study 要了解更多.

 

Customer Story – Westpac Pacific Banking Corporation

成为大型西太平洋银行集团的一部分, 西太平洋银行必须遵守各种监管准则,因此需要对整个IBM i环境中发生的一切都有可见性.

自实施Assure Monitoring and Reporting系统审计功能以来, 审计员和内部安全官员对他们能够提出简明和准确的报告感到满意. Equally important is the fact that today, 审计和合规过程显著地更加自动化——消除了IT人员花费数小时收集系统信息的需要, managing user access, 并将数据格式化为审计师可以解释的报告.

读 the case study 要了解更多.

 

What to look for in a compliance assessment

在IBM i服务器上运行彻底的合规性评估,并根据法规需求全面检查系统安全性,需要大量的专业知识. 公司通常对员工没有这样深刻的IBM i知识,必须寻求第三方顾问或供应商来执行评估. 一般来说,使用独立审计师被认为是最佳实践.

任何IBM i合规审计员都应该对IBM i操作系统有深刻的理解. 企业也可以通过检查自己的密码和认证策略来帮助自己, powerful user profiles, objects settings, 出口点, and other areas of concern.

一旦完成, 您的遵从性评估应该提供明确的行动项目,说明为了遵守特定的法规需要做出哪些更改.

Review our eBook: 通过您的下一次审计:适当地保护您的IBM i和维护遵从性的挑战. 

Don’t go it alone

由于资源匮乏,内部专家匮乏, 对于公司来说,最好的做法是引入第三方服务提供商或咨询公司来支持他们遵守网络安全法规的努力.

与知名网络安全专家合作可以帮助企业走上合规之路, while freeing up skilled IT teams to tackle other, equally important tasks. 还强烈建议继续进行审计,以继续评估安全卫生,并验证数据管理实践是最新的,并完全遵循最新的最佳实践.

像GDPR和CCPA这样详细而全面的安全法规的出现是一个时代的标志, 这反映了围绕数据隐私控制和安全标准的思想正在发生转变. It is not a culmination of escalating regulations, 但风险管理和合规预期的新时代开始了.

下载 our product sheet about Professional 安全 Services 要了解更多.

友情链接: 1 2 3 4 5 6 7 8 9 10