合规

合规是指确保组织的人员、流程和技术遵守适用法律、法规、行业标准与合同义务的实践。在网络安全领域,合规通常涵盖数据保护法律(GDPR、CCPA、HIPAA)、行业框架(PCI DSS、SOC 2、ISO/IEC 27001)以及行业专属规则(SOX、GLBA、FedRAMP)。合规计划定义控制目标,将其映射到权威来源,生成证据(政策、日志、声明),并通过内部审计和外部评估加以验证。合规常被误认为等同于安全,实际上它只是最低基线——满足合规并不代表组织真正安全。