合規(Compliance),又稱法遵,如字面上的意思,可以理解成「合乎規範」、「法令遵循」。
這裡指的規範包含了法律、政府要求、國際標準、民間推動規範、組織內部規範等等,最主要的合規通常在於法律、政府要求、國際標準這三項。
而組織保持合規的目的有:
若組織(尤其是大公司)無法保持合規,輕則被罰款,重則可能吃上刑責、被暫停業務,更甚至是賠掉整個公司。
目前大多數公司內部有法律遵循部門,但由於法遵部門大多只針對組織的核心業務與財務、人資等等的法規熟悉,較少碰觸資訊相關法規(頂多只有個資法、GDPR)。
且資安法規仍然需要資訊、資安相關的技術知識才能理解與規劃,因此資安合規目前大多還是由資安或資訊部門主導。
目前在資安合規的檢驗上面,除了內部定期檢討、外部稽核外,許多公司亦會聘請顧問公司(通常是四大會計事務所)針對合規性進行檢視,並提供報告與建議。
iThome鐵人賽
看影片追技術