岗位

即使是最有经验和准备最充分的公司,也会被电子邮件的泄露弄得措手不及。这就是为什么建立一个有效的电子邮件安全合规模型是至关重要的。

什么是电子邮件安全法规?

电子邮件安全合规是监测、维护和执行政策和控制的过程,以确保电子通信的保密性。这可以通过定期的电子邮件审计或持续的监测工作来完成。

每个组织都应该有一个成文的安全合规模型(SCM),概述其与电子邮件安全合规有关的政策、程序和活动。这可以确保在你的组织内不发生任何通信违规行为,并有助于留住那些可能对安全实践不佳的公司持警惕态度的商业伙伴。

了解企业的电子邮件安全合规条例

电子邮件安全合规法律是确保存储在电子邮件中的信息的安全和隐私的法律框架。这些法律由各国政府执行,对各种形式和规模的企业来说都是一个日益严重的问题。

下面,我们简要介绍了对处理电子邮件通信的企业的要求,以及为您的企业建立一个适当的电子邮件安全合规性所适用的各种法律框架的一般概述。

a.HIPAA/SOC 2/FedRAMP/PCI DSS

健康保险可携性和责任法案(HIPAA)和联邦信息系统安全标准第二版(SOC 2)、FedRAMP和PCI DSS都是要求组织保护电子保护健康信息(ePHI)隐私和安全的法规。 ePHI是在承保实体或商业伙伴之间以电子方式传输的任何信息。

这些法律要求承保实体实施适合其处理的数据性质的政策、程序和技术控制,以及其他必要的保障措施,以履行其在HIPAA和SOC 2下的责任。这些法规适用于代表另一实体传输或接收电子形式的PHI的所有实体;然而,它们也适用于所有业务伙伴和从承保实体接收PHI的其他实体。

本条例适用于哪些企业?

本条例适用于任何以电子方式收集、储存或传输PHI(受保护健康信息)的企业。它也适用于任何参与以电子方式提供受保护电子健康记录(eHealth Record)或其他受保护医疗服务的企业。这些法规旨在保护病人隐私和病人数据的安全,防止第三方未经授权的访问。

b.GDPR

通用数据保护条例》(GDPR)是欧盟实施的一项法规。它旨在保护欧盟公民的个人数据,并被称为 "一代人中最重要的隐私法"。

GDPR要求企业在如何使用客户数据方面保持透明,并就其如何处理这些数据提供明确的政策。它还要求企业披露他们收集和储存的客户信息,并为个人提供访问这些信息的便捷方式。此外,GDPR禁止企业将个人数据用于收集目的之外的用途。

本条例适用于哪些企业?

它适用于所有在欧盟收集数据的公司,并要求公司从他们收集的个人信息的人那里获得明确的同意。GDPR也会对不遵守规定的行为进行罚款,所以在开始收集任何个人信息之前,你必须把你的事情办好。

c.CAN-SPAM

CAN-SPAM是美国国会在2003年通过的一项联邦法律,它要求商业性的商业电子邮件必须包括其来源的某些信息,包括发件人的实际地址和电话号码。该法律还要求商业邮件包括一个返回地址,该地址必须是发件人域名内的一个地址。

后来,《CAN-SPAM法案》被更新,包括对商业电子邮件更严格的要求。新规则要求电子邮件发送者清楚准确地表明自己的身份,提供一个合法的返回地址,并在每封电子邮件的底部包括一个退订链接。

本条例适用于哪些企业?

CAN-SPAM法案适用于所有商业信息,包括企业向消费者发送的信息,反之亦然,只要它们符合某些要求。该法规旨在保护企业免受垃圾邮件的影响,即有人发送信息的目的是让你点击一个链接或打开一个附件。该法还保护消费者免受公司发送的试图向他们推销东西的垃圾邮件的影响。

如何为你的企业建立一个电子邮件安全合规模型

电子邮件安全合规性模型旨在验证一个组织的服务器和电子邮件应用程序是否符合适用的法律、全行业标准和指令。该模型帮助组织建立政策和程序,通过检测、预防、调查和补救潜在的安全事件,规定收集和保护客户数据。

下面你将了解如何建立一个有助于电子邮件安全的模型,以及超越合规性的技巧和先进技术。

1.使用安全的电子邮件网关

电子邮件安全网关是保护你公司电子邮件通信的重要防线。它有助于确保只有预定的收件人收到电子邮件,而且还能阻止垃圾邮件和网络钓鱼的企图。

你可以使用该网关来管理你的组织和其客户之间的信息流。以及利用加密等功能,这有助于保护通过电子邮件发送的敏感信息,在其离开一台计算机之前进行加密,并在其到达另一台计算机的途中进行解密。这可以帮助防止网络犯罪分子能够阅读不同计算机或用户之间发送的电子邮件或附件的内容。

一个安全的电子邮件网关还可以提供诸如垃圾邮件过滤和归档等功能--所有这些对于在你的公司中保持一个有组织和合规的氛围是至关重要的。

2.行使交付后保护

有几种方法可以为你的企业建立一个电子邮件安全合规模型。最常见的方法是使用该模型来识别潜在的风险,然后对这些风险应用交付后保护(PDP)。

交付后保护是验证电子邮件是否已经交付给预定收件人的过程。这包括确保收件人能够登录到他们的电子邮件客户端软件并检查邮件,以及确认电子邮件没有被垃圾邮件过滤器过滤。

交付后的保护可以通过拥有一个安全的网络或服务器来实现,你的电子邮件被储存在那里,然后在交付给目标收件人之前对它们进行加密。值得注意的是,只有被授权的人才能接触到这些文件,因此只有他们能解密。

3.实施隔离技术

电子邮件安全合规模型是通过隔离用户的所有终端和他们的网络流量来建立的。隔离技术的工作原理是在一个基于云的安全浏览器中隔离所有用户的网络流量。这意味着,通过隔离技术发送的电子邮件在服务器端被加密,并在 "隔离 "站的客户端被解密。

因此,没有外部计算机可以访问他们的电子邮件,他们也不能下载任何恶意程序或链接。这样,即使有人点击电子邮件中含有恶意软件的链接,恶意软件也无法感染他们的计算机或网络(因为恶意链接将以只读形式打开)。

隔离技术通过实施使用基于主机的加密(HBE)的安全电子邮件解决方案,使公司能够轻松遵守PCI DSS和HIPAA等法规。

4.创建有效的垃圾邮件过滤器

电子邮件过滤是指在电子邮件被传送到接收系统之前,根据规则列表对其进行检查。这些规则可以由用户设置,也可以根据某些标准自动设置。过滤通常用于验证从某些来源发送的邮件是否是恶意的或包含任何意外内容。

创建一个有效的垃圾邮件过滤器的最好方法是分析垃圾邮件发送者如何使用技术,使他们的信息在到达收件人的收件箱之前难以被发现。这种分析应有助于你开发出能够识别垃圾邮件并防止其进入收件箱的过滤器。

幸运的是,现在有一些解决方案(如DMARC),通过允许企业为每封邮件定义特定的规则,使过滤器只处理符合这些规则的邮件,从而使这一过程自动化。

5.实施电子邮件认证协议

的问题。 标准标准是确保你的用户从你的企业获得他们所期望的信息的重要步骤,并且敏感信息永远不会到达非故意的手中。

这是一个电子邮件认证协议,使域名所有者能够拒绝不符合某些标准的邮件。这可以作为防止垃圾邮件和网络钓鱼的一种方式,但它对于防止欺骗性的电子邮件被发送给你的客户也很有用。

如果你正在为你的企业建立一个电子邮件安全合规模型,你需要DMARC来帮助保护你的品牌不被来自外部的恶意邮件所玷污,这些邮件可能试图冒充企业名称或域名来欺骗你的忠实客户。.

作为一个具有DMARC功能的企业的客户,你可以放心,你收到的是企业的合法通信。

6.使电子邮件安全与总体战略相一致

你的电子邮件安全合规计划的总体战略是确保你的组织遵守所有相关的政府法规。这些包括与以下领域有关的法规:发件人身份、选择进入、选择退出和请求处理时间。

为了实现这一目标,你需要制定一个计划,分别解决这些领域的问题,然后以相互支持的方式整合它们。

你也应该考虑根据不同地区的不同政策来区分你的电子邮件策略。例如,在美国,有许多不同的关于垃圾邮件的法规,这就需要与其他国家(如印度或中国)不同的实施手段,因为这些国家对垃圾邮件的规定没有那么严格。

查阅我们的 企业电子邮件安全检查清单,以确保你的企业域和系统的安全。

为您的企业建立一个电子邮件安全合规模型。其他步骤

  • 制定一个数据收集计划,包括你想收集的信息类型,你想多长时间收集一次,以及应该花多长时间收集。
  • 通过制定关于在工作场所正确使用电子邮件的政策、程序和培训模块,培训员工如何安全和可靠地使用电子邮件。
  • 评估你目前的电子邮件安全措施,看它们是否符合行业最佳实践的要求,如有必要,考虑升级。
  • 确定什么样的人力资源数据需要保持隐私或机密,以及如何将其传达给你的员工、合作伙伴和供应商,包括任何参与为你的网站或社交媒体渠道创建内容的第三方。
  • 建立一份所有能接触到敏感/机密信息的员工名单,并制定一项计划来监控他们对电子邮件通信工具的使用。

谁负责你企业的电子邮件安全合规?

IT经理 - IT经理负责其组织的整体电子邮件安全合规性。他们是确保公司的安全政策得到遵守,并且所有员工都接受过相关培训的人。

系统管理员 - 系统管理员负责安装和配置电子邮件服务器,以及任何其他IT基础设施,这可能是运行一个成功的电子邮件系统所必需的。他们必须了解什么类型的数据被存储,谁可以访问它,以及它将如何被使用。

合规专员 - 他们负责确保公司遵守所有关于电子邮件安全合规的法律。

雇员 - 雇员有责任遵守公司的电子邮件安全政策和程序,以及其经理或主管的任何额外指示或指导。

第三方服务供应商 - 你可以将你的电子邮件的安全外包给第三方,这样既可以节省时间又可以节省金钱。例如,第三方 DMARC管理服务供应商可以帮助你在几分钟内实施你的协议,管理和监测你的DMARC报告,排除错误,并提供专家指导,轻松获得合规性。

我们如何为您的电子邮件安全合规之旅做出贡献?

PowerDMARC,为全球企业提供电子邮件安全解决方案,使您的企业邮件系统更加安全,防止网络钓鱼和欺骗。.

我们帮助域名所有者转向符合DMARC的电子邮件基础设施,并执行(p=reject)政策,而不会在交付能力方面有任何延误。我们的解决方案有一个免费的试用期(不需要提供银行卡信息),所以你可以在做出任何长期决定之前测试一下它。 DMARC试用现在就试一试!

网络安全合规是许多企业越来越关注的领域。重要的是,你的企业要了解这些要求,并有一个计划来实现合规。

网络安全合规涉及以下内容。

  1. 对你的业务进行风险评估,包括由外部威胁(如病毒和恶意软件)和内部威胁(如内部人员滥用机密信息)所带来的风险。
  2. 创建一个能够快速响应任何事件的事件响应团队。他们还应该接受如何应对网络攻击的培训。
  3. 实施一个入侵检测系统,监测网络和电子邮件流量,以发现未经授权的活动,如一个 DMARC分析器.
  4. 制定一个强有力的网络安全战略,包括制定安全控制措施和培训员工如何正确使用这些措施的最佳做法。

什么是网络安全合规?

网络安全合规性是一套公司和组织必须遵循的标准,以便被视为 "合规"。这些标准可以根据实体或组织的类型而有所不同,但它们通常包括政策、程序和控制,以确保公司保护自己免受网络攻击。

例如,如果你的组织使用电子邮件作为通信方式,你需要实施电子邮件安全和认证协议,如DMARC,以确保你的电子邮件交易和验证发送源。如果缺乏这种协议,会使你的域名容易受到域名欺骗、网络钓鱼攻击和勒索软件的影响。 

为了保护你的公司,你能做的最重要的事情之一就是确保你的网络安全做法是合格的。你不能忽视网络安全违规行为--它们是黑客进入你的网络并对你造成严重伤害的最简单方法。

但究竟什么是网络安全合规?

网络安全合规性是一套最佳实践,公司在其日常运营中使用,以确保他们保护自己免受网络攻击。这些最佳做法包括。

  • 维持一个安全的网络
  • 保持系统的补丁和安全补丁的更新
  • 保护客户信息和数据
  • 保护你自己的数据和电子邮件通信的安全 

你的网络安全合规性从哪里开始?

实现网络安全合规性的第一步是了解你要实现的目标。

你的目标是什么?管理你的网络安全合规的组织或个人的具体期望是什么?是为企业本身,还是为外部实体,可能是政府机构、像NSA这样的组织,甚至是第三方供应商?

如果是针对企业本身,那么你就需要了解你的组织是如何运作的,以及它是如何与其他实体互动的。你还想知道他们正在收集什么样的数据,以及他们将数据存储在哪里。如果他们使用云服务,如亚马逊网络服务(AWS)、谷歌云平台(GCP)、微软Azure或甲骨文云平台(OCP),那么你就需要了解围绕这些服务是否有任何安全控制。

如果你与政府机构或第三方供应商等外部实体合作,那么你要确保他们对你的组织和需求以及他们自己监测和应对威胁的过程有良好的理解。你还希望他们熟悉可能发生的针对你公司系统的攻击类型以及如何攻击。 

网络安全合规战略。行动中的计划

电子邮件安全

让我们从最基本的开始。你需要保持你的电子邮件系统的安全。这意味着对你的电子邮件进行密码保护,即使它只是你整个系统的一个单一密码。你需要确保任何从你的组织发送或接收电子邮件的外部服务也是安全的,并且具有与你的内部系统相同的密码要求。

你公司的电子邮件系统是你业务的一个关键部分。它是你与潜在客户、客户和员工联系的方式,也是你发送重要更新和公告的方式。

但它也是你的公司最脆弱的部分之一。

因此,如果你想确保你的电子邮件保持私密性并免受黑客攻击,网络安全合规是必须的。这里有一些确保你的电子邮件符合网络安全的提示。

  1. 确保你在通过电子邮件发送敏感信息时使用加密(SSL)。这有助于确保没有人能够截获或阅读你的电脑和目标收件人的设备之间的发送内容。
  2. 设置密码策略,使所有用户都有独特的密码,并定期更换,而且绝不在与电子邮件服务提供商(ESP)相同的账户或设备上的任何其他服务或应用程序中使用。
  3. 尽可能启用双因素认证(2FA),以便只有被授权的人才能访问启用了2FA的账户--即使如此,也只有在他们之前被已经启用了2FA的其他人授予访问权的情况下。
  4. 通过实施电子邮件认证协议(如:DMARC),确保你的电子邮件域名免受欺骗、网络钓鱼、勒索软件等的影响。 DMARC, SPF, 和 DKIM
  5. 在中间人攻击者的窥视下,通过强制执行TLS加密的电子邮件交易,确保你的电子邮件在传输过程中的安全。 MTA-STS

网络安全合规的重要性

一个公司在网络安全方面有很多不合规的地方。例如,如果你的公司有一个过时的防火墙,黑客就有可能利用你的系统作为其恶意软件攻击的一个途径。或者,如果你的网络没有受到双因素认证的保护,你的网站可能会有被黑客攻击的风险。或者,如果你的电子邮件没有经过认证,它可能为欺骗性攻击和网络钓鱼铺平道路。 

值得注意的是,合规性并不能防止所有类型的威胁载体。网络安全解决方案可以帮助企业防止黑客进入他们的网络,防止知识产权被盗,保护计算机和服务器等实物资产,防止可能限制访问关键系统或信息的恶意软件感染,检测在线支付交易的欺诈行为,并在其他网络攻击发生之前阻止它们。