Проблемы не имеющую Сертификация / Аккредитация программы
Если ваше учреждение не имеет стандартных C и программу, можно ожидать, С и А процесс стал чрезвычайно запутанной и слишком сложным. С и А составители не будет знать, что должно быть включено в состав каждого пакета, и по оценке не будет знать, если что-либо отсутствует. Отсутствует информацияБез С и А программа сертификации различных пакетов будет включать различные типы информации. Например, без предписанных стандартных и С и А программа, одна Сертификация Пакет может иметь информационных технологий план (ITCP) и других, возможно, нет. Один Сертификация Пакет может включать карты сетевой топологии, и других не может. Когда настанет время оценить весь пакет сертификации, то трудно на провал пакета для не имеющих информационных технологий план, если не политика или организационные процесс никогда требуется от одного до существуют в первую очередь. Очень трудно провести информационную систему владельцев и ISSOs ответственность за воедино достаточное Сертификация пакеты, если Ваше агентство еще не определено, что именно представляет собой адекватный Сертификация пакет. Отсутствие организацииХотя указанием нужной информации включить в сертификации Пакет имеет первостепенную важность, формат упаковки не следует забывать. Сертификационный пакет может быть 500 страниц. Если каждый из них организованы аналогичным образом, это будет очень громоздкой по оценке wade через обширной информации и убедиться в том случае, если все права материал был включен. Лучше сделать вещи проще для оценщиков. Оценщики, которые не могут сделать руководители или "хвостов" из информации, представленной в них, и не могут найти ключевые элементы информации, будут склонны рекомендовать пакет быть аккредитованы. Расхождения в оценке процессаВы хотите каждый сертификации упаковки должны оцениваться одинаково. Одно учреждение может иметь много различных evaluators.Without любого рода стандарт для сертификации пакет содержание или формат, вы чего все оценки до субъективное мнение одного (или небольшой группы) людей. Разные оценки может поставить акцент на различных областях. Если каждый пакет имеет те же организационные формы, это увеличивает шансы, что различные оценки будет оценивать пакеты таким же образом, потому что они будут искать, и ожидаем такого же типа информации. Неизвестно архитектуры безопасности и конфигурацииБез сертификации упаковки, это может быть дело, что системы безопасности и конфигурации вашей информационной инфраструктуры не известно. Работая через C и процесс, вы осознали ли это или нет. Если архитектуры безопасности хорошо документирована, С и А служит возможность убедиться в том, что архитектура сети диаграмм и карт являются правильными. Если это не так хорошо документирована, и не документируется на всех, это что-то вам захочется исследований и diagram.The же самое можно сказать о безопасности конфигурацию. Все программное обеспечение требует настройки. Когда операционных систем и приложений установлены, даже если они установлены надежно, имеют настроек безопасности документально? Если настройки безопасности, не являются документально, они в основном известны. Даже экспертов и опытных администраторов систем, как правило, не может помнить все мало, что они сделали для системы при настройке, поскольку сегодня операционных систем и приложений настолько функция rich.That поэтому архитектуры безопасности и конфигурации документации critical.The C и процесс предназначен для поиска неизвестных в архитектуре безопасности и параметры конфигурации, а затем решить, неизвестные путем создания необходимой документации на этом пути. Неизвестно РискиФедеральные законы, в стороне, главная причина для понимания позиции безопасности Ваших информационных систем для выявления рисков, их понять и принять смягчения actions.With С и А слева неопределенная, вы чего риск, что вы хотите, чтобы ваше агентство для поиска открытых спекуляции. Возможно агентство ISSOs будет определять все основные риски, но, возможно, они не будут. Один ISSO может поставить акцент на планировании аварийного восстановления, и еще, возможно, делают акцент на системе рисков. Представляется маловероятным, что все они будут одинаковым вниманием по всем аспектам информационной безопасности. Когда дело доходит до выявления рисков, существует множество пунктов, принять во consideration.There являются коммерческие риски, системных рисков, рисков профессиональной подготовки, политических рисков, перечня рисков, а так on.A четко C и Программа гарантирует, что все соответствующие видов рисков были приняты во внимание. Законы и ТабелиВы можете быть удивлены, что слова "сертификация" и "аккредитация", не использовались при информационной безопасности федерального закона от 2002 года. Тем не менее, закон четко устанавливает требования информационной безопасности программы, а также имена необходимых элементов этой программы. Многие из необходимых элементов утвержденных информационной безопасности программы являются те, что развивались быть сейчас известно как "сертификации и аккредитации." Даже если учреждением всей программы было что-то другое - сказать: "Совет Безопасности Одобрение программы" - все тот же элементов этой программы будет required.You не следует головой на то, что вы не видите термины "сертификация" и "аккредитация" в письменном law.The название элементов программы требуется по закону независимо от того, насколько Вы им. Без этих элементов, а без информационной безопасности программы, учреждения нарушая закона. Более того, что учреждения не имеют права элементов, включенных в их информационной безопасности программа будет получать бедные Федерального Computer Security Report Card классов. это статья добавлена Хемант Байдван
|
|||||
|