法律團隊一直在信息安全和合規計劃中發揮重要的作用。律師們提供的專業知識補充了IT專業人員的技術知識，當這兩者朝著共同目標合作時，可以幫助企業建立全面的IT風險管理計劃。

[[129067]]

在這篇文章中，我們將探討在各種規模的企業中，法律團隊可以為信息安全提供幫助的三個不同領域以及如何確保這兩個團隊成功地攜手合作。

風險管理

法律部門經常發現自己被安排參與企業風險管理(ERM)計劃中，這主要是因為兩個原因：首先，他們通常了解企業各個領域面臨的很多敏感風險;其次，很多企業風險都具有法律性質，需要律師的專業知識來協助解釋法律和法規，以及評估違規時對企業的影響。

信息安全專業人員經常執行自己的風險評估，但顯然，信息安全團隊查找的風險與律師部門關注的風險非常不同。此外，安全驅動的風險評估往往在隔離環境進行，很少與IT部門之外的人進行共享，這是由于其很高的技術性質。

如果IT領導者能夠彌合這種技術差距，并提供對信息安全風險的“外行”式評估，他們就可以與其法律團隊合作將這些評估納入到更廣泛的ERM計劃。每個大型企業都應該有ERM計劃，以在企業范圍收集風險數據來評估和緩解企業面臨的風險。同時，信息安全風險(例如惡意軟、偉大補丁的系統、政策違規等)和很多其他風險也應該被納入到更廣泛的風險管理工作中。

為了確保這種合作的實現，信息安全領導者應該伸出手與法律同行建立合作關系。而企業應該促進這兩個團隊對各個角度的風險進行討論，這無疑會找到他們共同的興趣領域以及方法讓每個團隊支持對方的目標，包括風險管理。這種合作方式將最終幫助確保企業的領導層清楚了解安全風險，并可能讓他們分配更多資源來解決IT風險。

合規和事故響應

大多數法律團隊最開始參與IT安全問題是為了向IT和職能團隊提供幫助，以確保企業遵守安全法律和法規。支付卡行業數據安全標準(PCI DSS)、健康保險流通與責任法案(HIPAA)，格雷姆 -里奇-比利雷法案(GLBA)和很多其他法規向IT企業提出了各種要求，而IT企業往往缺乏培訓和經驗來解釋和適用復雜的法律及行業準則。

律師可以幫助IT團隊清楚地了解哪些法規適用于企業及其適用范圍。當法規出現歧義時，他們還能夠提供有關所計劃控制的可接受性的建議。信息安全團隊應該毫不猶豫地找到法律團隊來討論如何解釋和遵守合規要求。每個團隊都需要一些練習來學習如何了解對方的語言，所以請記住，雙方都需要有耐心。

當數據泄露事故或其他重大安全事故發生時，法律團隊也發揮了重要作用。他們的專業知識可以幫助從法律的角度作出響應，并可以就數據泄露事故通知和響應向企業領導提供法律建議。因此，在事故發生之前，絕對有必要讓法律團隊參與事件響應規劃中。這應該包括，在桌面演戲中，在模擬IT問題的同時，還應該考慮相關的法律問題。當事故真的發生時，也應該立即通知法律部門，并讓他們參與迅速響應工作中。

合同審查

大多數企業已經在依靠其法律團隊來審查IT合同(如果你沒有，你應該這樣做)。這項工作的自然延伸是要求法律團隊確保合同中的安全語言可以充分保護企業的利益。這應該同時應用于與供應商和客戶的合同，并且應該包括覆蓋面問題，包括安全控制、審計、事故通知、賠償等重要問題。

促進安全和法律團隊合作的最佳途徑之一是讓他們合作開發一套解決這些問題的標準合同語言文檔。這樣的話，信息安全團隊可以添加這種語言到其接收或制定的任何合同，確保可以自動解決關鍵的法律問題。當合同的另一方接受標準條款時，那么合同可以迅速獲得批準。在另一方面，對標準條款提出的任何修改都需要法律和信息安全團隊的深入審查。

結論

與法律部門建立牢固的關系是信息安全專業人士快速獲得成功的途徑之一。當信息安全和法律團隊的專家聯手合作來解決信息安全帶來的問題時，整個企業都會從中受益。