政府および業界固有のさまざまな規制(SOX、HIPAA、GLBA)や情報技術標準 CobIT に関連する、脆弱性の検索とレポート作成を行うことができます。
2002 年のサーベンスオクスリー法(SOX 法)では、年次財務報告書の完全性を検証するための有効な管理策や手続きが求められます。SOX 法の第 404 項は情報セキュリティに関するもので、経営陣は組織の財務手続きの安全性を確保するための適切な“ 内部統制 ”の確立を実証しなければならないとされています。この規制は、内部統制によって、財務諸表に重大な影響を及ぼす可能性のあるセキュリティ侵害の予防と検出を通じて財務データを保護するものと定めています。
SOX 法の適用対象は、第 404 項のコンプライアンスの達成と証明を目指す株式公開会社です。
医療保険の携行性と責任に関する法律(HIPAA)では、患者記録や個人の特定が可能な健康情報など、個人のあらゆる健康情報の機密性、完全性、可用性を促進するセキュリティ管理策の実施が義務付けられています。
HIPAA では、リスクに基づく健康情報の保護が求められます。HIPAA には、管理および技術に関する保護策において最小限のセキュリティベースラインを達成するためのコンプライアンスガイドラインがあります。
HIPAA の適用対象は、医療機関、保険会社、また健康情報を電子的に処理、保存、管理するすべての組織です。
グラムリーチブライリー法(GLBA)では、消費者の財務情報の機密性とプライバシーを維持するための IT 管理策が求められます。組織は権限のないアクセス、予想される問題、消費者の財務情報の安全性や完全性を脅かすリスクからの保護策を講じる必要があります。
GLBA により、銀行や信用組合での顧客の個人情報の取り扱い、管理、保護の方法に厳格なガイドラインが導入されました。このガイドラインでは顧客情報を、書面、電子といった形態を問わず、顧客が公開していない個人情報を含むあらゆる情報と定義しています。各機関は規模、複雑度、活動内容や範囲に応じた適切な管理、技術、物理的保護策を含む書面による情報セキュリティプログラムを用意しなければなりません。
GLBA の適用対象は、銀行、信用組合、証券会社、投資会社です。
CobIT(Control Objectives for Information and related Technology)は、情報システムコントロール協会(ISACA)と IT ガバナンス協会(ITGI)が 1992 年に策定した IT 統制フレームワークであり、情報技術(IT)の管理のためのツールセットです。
CobIT では、情報、IT 統制、関連するビジネスリスクの管理に関するベストプラクティスが提供されています。IT 運用と業務上のセキュリティ、収益性、リスク管理を相関づける管理目標の概要と詳細が記載されています。