概述
最后更新于:
为满足行业与法律标准,企业需保留并监控能证明合规状态的审计数据。ManageEngine Log360通过专属合规报表模块简化此流程,该模块可从日志源提取相关事件数据,并生成符合全球及行业特定法规的结构化报表。
Log360支持多种预定义合规要求,通过可视化方式呈现审计数据。除内置合规标准外,用户还可创建定制报表以满足特定业务需求。
以下是本产品支持的预定义合规法规列表:
| 合规性 | 描述 |
|---|---|
| 《联邦信息安全管理法案》(FISMA) | 要求美国联邦机构为其收集或维护的信息,以及由该机构或其承包商、其他组织代表该机构使用或运营的信息系统提供安全保障。 |
| 《个人数据保护法》(PDPA) | 旨在通过规范组织维护安全系统来存储和管理个人信息,从而保护菲律宾公民的隐私。 |
| 《加州消费者隐私法案》(CCPA) | 一项隐私法规,要求企业实施安全措施以保护加州居民的个人数据。 |
| 《加州隐私权法案》(CPRA) | 作为CCPA的修订法案,该法对个人数据保护提出更严格要求。其强化消费者隐私权,强制企业履行数据保护、违规报表及合规保障义务。 |
| 支付卡行业数据安全标准(PCI DSS 4.0) | 一套包含12项流程与实践的规范,旨在确保支付卡数据的安全传输。其目标是提升消费者数据安全性,增强支付生态系统的信任度。 |
| 《萨班斯-奥克斯利法案》(SOX) | 美国颁布的法律,旨在确保财务信息的准确性、可靠性,并防止商业实体不必要地披露财务信息。该合规法规通过明确内部控制流程,提升财务报表的透明度。 |
| 《健康保险携带与责任法案》(HIPAA)合规性 | 美国联邦法律,旨在保护患者个人身份信息免遭欺诈和盗窃,同时提升劳动者健康保险覆盖的可携带性。 |
| 《格拉姆-里奇-比利雷法案》(GLBA)核查 | 又称《金融服务现代化法案》,该法规为金融机构设定标准,确保客户财务记录和个人信息的保密性与安全性。 |
| 《个人信息保护法》(POPIA) | 旨在保护南非公民个人身份信息(PII)的法规。该法案规定了所有驻南非境内外公共及私营机构合法收集和处理公民个人数据的条件。 |
| 良好实践指南13(GPG13) | 英国政府所有机构必须遵循的框架,包含12项保护性监控控制措施(PMCs)。该标准由英国信息保障机构通信电子安全小组制定。 |
| 网络安全基础认证 | 英国政府支持的组织认证体系,确保机构具备基础安全控制措施以防护IT基础设施免受常见网络威胁。这些控制措施既能保护敏感数据,又能降低网络风险。 |
| 国际标准化组织/国际电工委员会27001标准(ISO 27001:2013版) | 要求组织管理关键资产的安全性,包括财务数据、知识产权、员工档案、客户数据及其他机密信息。 |
| 国际标准化组织/国际电工委员会27001标准(2022版)(ISO 27001:2022) | 该框架概述了建立、实施、维护和持续改进信息安全管理体系(ISMS)的最佳实践。它确保组织实施适当的控制措施,以保护机密数据、个人信息和知识产权等信息资产。 |
| 信息安全等级保护(ISLP) | 一项强制性安全框架,要求组织保护敏感数据并维持适当的信息安全实践。 |
| 美国核管理委员会监管指南5.71(NRC RG 5.7) | 美国法规,为核设施使用的数字系统提供网络安全保护要求。该指南概述防御策略、安全控制措施及监控实践,以防范可能影响安全、安保或应急响应功能的网络攻击。 |
| 通用数据保护条例(GDPR) | 欧盟法规,对组织收集、处理和存储个人数据制定严格准则。旨在赋予个人对其信息更多控制权,确保欧盟范围内数据隐私实践的一致性。 |
| 《家庭教育权利与隐私法》(FERPA) | 美国联邦法律,规范学生教育档案隐私保护。适用于所有接受美国教育部资助的教育机构。 |
| 北美电力可靠性公司关键基础设施保护(NERC CIP) | 旨在加强美国、加拿大部分地区及墨西哥一州大电网系统安全的一套标准体系。 |
| 连接规范(CoCo) | 英国政府标准,规定地方政府连接政府连接安全外联网(GCSX)的安全要求。该标准基于ISO 27001原则,涵盖技术、流程、物理及人为风险类别。 |
| 网络安全成熟度模型认证(CMMC) | 美国国防部框架,要求承包商及分包商遵循特定网络安全实践,以保护联邦合同信息(FCI)和受控非机密信息(CUI)。 |
| 美国国家标准与技术研究院(NIST CSF) | 由美国国家标准与技术研究院(NIST)制定的自愿性指南,旨在协助组织管理并降低其运营及关键基础设施中的网络安全风险。 |
| 卡塔尔网络安全框架(QCF) | 由卡塔尔国家网络安全委员会(NCSC)制定的指导方针,旨在协助组织实施并维持网络安全最佳实践。该框架涵盖六大核心要素:战略与治理、风险管理、防护措施、检测与响应、恢复机制以及协作与伙伴关系。 |
| 可信信息安全评估交换(TISAX) | 由德国汽车工业协会(Verband der Automobilindustrie - VDA)制定的网络安全标准,旨在确保汽车行业敏感数据的安全处理。TISAX帮助制造商和供应商维持高安全标准,并在供应链中建立信任。 |
| 沙特阿拉伯货币管理局(SAMA) | 由沙特阿拉伯中央银行建立的网络安全框架,用于指导和监管金融机构。该框架帮助成员机构识别并应对网络安全风险,并为其员工、子公司、第三方及客户制定了安全要求。 |
| 基本网络安全控制措施(ECC) | 沙特阿拉伯网络安全框架,概述关键措施与最佳实践,协助组织保护系统及数据免受网络威胁。该框架提供结构化指南与控制措施,涵盖访问控制、事件响应、网络安全及数据保护等领域,旨在强化整体网络安全态势并降低风险。 |
| 《个人数据保护法》 | 沙特阿拉伯颁布的数据隐私法规,规范个人数据的收集、处理、披露及存储行为。该法旨在保护个人隐私并确保数据处理的合规性。初始监管机构为沙特数据与人工智能管理局(SDAIA),后续监管职能可能移交国家数据管理办公室。 |
| 刑事司法数据通信网络(CJDN) | 由明尼苏达州刑事逮捕局(BCA)运营的安全通信基础设施,旨在使授权刑事司法机构能够访问和共享刑事司法信息(CJI)。CJDN严格执行联邦调查局《刑事司法信息服务安全政策》(CJISSECPOL),确保CJI在明尼苏达州执法网络中安全传输、处理和存储。 |
| 阿联酋信号情报局(UAE-NESA) | 由阿联酋电信与数字政府监管局(TDRA)制定的网络安全框架。该框架定义了一系列管理与技术控制措施,用于建立、实施、维护和增强国家信息安全机制,并支持该国《国家网络安全战略》。 |
| 服务组织控制类型2(SOC 2) | 由美国注册会计师协会(AICPA)制定的框架,旨在确保组织实施网络安全措施以保护客户敏感数据。 |
| 巴西《通用数据保护法》(LGPD) | 规范个人及敏感数据的收集、使用、处理与存储。该法规使巴西与GDPR等全球数据保护标准接轨,并强制实施严格管控以保障个人隐私。 |
| 联邦数据保护法(FADP) | 瑞士实施的数据保护法,规范个人数据的收集、处理和存储。该法强化隐私权保护,对处理个人信息的企业施加更严格义务,确保数据处理活动的透明度与问责制。 |
| 《网络与信息安全指令2》(NIS 2) | 欧盟指令,为能源、医疗、金融及数字基础设施等关键领域实体设定网络安全风险管理与报表要求。该指令扩展了原NIS指令的适用范围,强化安全义务,并建立统一处罚机制,以增强欧盟内部抵御网络威胁的韧性。 |
延伸阅读
本节阐述了合规报表的重要性,以及产品如何满足全球及行业特定法规要求。若需了解如何在您的环境中配置和管理合规功能,请参阅以下文章: