拉丁美洲金融、卫生和电信监管机构正在加强安全控制和风险管理要求。我们将监管要求转化为可实施和可审计的ISO控制措施。
组织收到监管机构(BCRA、SBS、CMF、行业监管局)的正式要求,要求在规定时间内实施信息安全控制、风险管理或业务连续性措施。内部团队缺乏将监管要求转化为ISO管理框架的经验。
因监管不合规面临行政制裁和罚款。受监管行业的运营许可证暂停。监管机构历史记录中登记的观察结果影响未来检查。如发现关键问题,监管机构将介入运营。
我们将每项监管要求映射到ISO 27001、ISO 22301或ISO 31000控制措施。我们提供法规-标准对应矩阵,显示每项控制的当前状态(已实施、部分、缺失),附有切实可行时间表的补救计划,以及监管机构期望作为合规证据的文件。
BCRA(阿根廷)要求金融实体的安全控制与国际标准对齐。SBS(秘鲁)和CMF(智利)在其网络安全通函中纳入ISO 27001参考。在巴西,央行和CVM要求可追溯的网络风险管理框架。在墨西哥,CNBV在其安全规定中参考ISO标准。
大多数情况下不是。监管机构要求等效控制,不一定是正式认证。然而,ISO认证提供结构化和经审计的证据,简化向监管机构证明合规的过程。我们的评估确定正式认证是否增加战略价值,还是仅实施控制措施就足够。
初步诊断和对应矩阵在2周内交付。优先控制措施的实施取决于范围:一组关键控制措施可在6至8周内投入运营;完整的管理体系需要4至6个月。我们根据监管机构给予的截止日期调整时间表。