Nello sviluppare il programma, voi’necessità del ll di scrivere un manuale di C&A che insegna alla vostra agenzia o ufficio su come preparare un pacchetto di certificazione. L'idea è standardizzare lo sviluppo di tutti i pacchetti di certificazione che sono presentati per evaluation.Without un manuale e un processo specificato, i pacchetti di certificazione avrà uno sguardo differente e ritiene. Se la certificazione differente 50 impacca tutte hanno le giuste informazioni in esso, ma nelle disposizioni differenti, sta andando essere molto difficile affinchè gli esperti trovi le informazioni. Se i pacchetti hanno tipi differenti di informazioni in loro, per gli esperti sta andando essere molto duro rivedere i pacchetti secondo gli stessi campioni.
La scrittura del manuale è un buon manuale grande di job.A è probabile essere intorno 200 pagine il manuale di long.The che deve includere le informazioni molto specifiche su che cosa i vostri esperti dell'agenzia devono vedere in ogni pacchetto di certificazione. Dovrebbe insegnare alla gente che prepara i pacchetti di certificazione su che documenti saranno richiesti per presentare e che cosa dovrebbero essere inclusi in ogni senso migliore di document.The accertarsi che ogni documento includa il giusto genere di informazioni devono generare le mascherine.
Ogni manuale’dell'agenzia s sarà in qualche modo differente ed intraprenderà le disposizioni organizzative un po'differenti. Tuttavia, è altamente consigliabile che tutti i manuali includono le sezioni nelle seguenti zone:
Priorità bassa, scopo, portata
|
|
Citazioni regolarici
Riferimento alle politiche interne collegate di sicurezza
Le informazioni di lifecycle del sistema
Una descrizione del processo
Ruoli e responsabilità
Definizione e spiegazione dei livelli di certificazione
Le informazioni sui documenti richiesti del pacchetto di certificazione
Come definire i requisiti di sicurezza
Come capire i contorni di accreditamento
Guida di riferimento di valutazione di rischio e di minaccia
Comandi di sicurezza
Prove richieste di sicurezza
Liste di controllo di valutazione
Piano d'azione & le pietre
Sigle
Glossario
Riferimenti e pubblicazioni relative
Un'appendice per ogni mascherina
Chi dovrebbe scrivere il manuale?
Non ci sono limitazioni su chi può scrivere un manuale di C&A. Un'agenzia può usare il relativo proprio personale, o i consulenti in materia della parte esterna. Tuttavia, lo sviluppo del manuale dovrebbe probabilmente essere fatto sotto l'autorità del reparto che sorveglierà gli esperti. Ha il significato che l'agente certificante dovrebbe indicare il personale adatto per scrivere il manuale poiché lui o lei dovrà vivere dalla relativa guida di riferimento ed accreditare i pacchetti secondo le relative stipulazioni. Ci è niente che dica che l'agente certificante non può creare il manuale. Tuttavia, dato le responsabilità giornaliere quotidiane dell'agente certificante, il tempo che occorre a sviluppo il manuale può richiedere che è fatto da un personale nominato, o consulenti in materia della parte esterna.
Sviluppo Della Mascherina
I pacchetti di certificazione consistono di un insieme dei documenti che tutti vanno insieme e complementano un pacchetto di certificazione di another.A sono voluminosi e senza normalizzazione, occorre un tempo eccessivo valutarlo per assicurarsi che tutte le giuste informazioni sono included.Therefore, agenzie dovrebbero avere mascherine per tutti i documenti che richiedono in loro pacchetti di certificazione. Le agenzie senza mascherine dovrebbero lavorare a generarle. Se un'agenzia non dispone dei mezzi in-house per sviluppare queste mascherine, dovrebbero considerare il outsourcing questa iniziativa ai consulenti esterni. Una mascherina dovrebbe essere sviluppata usando l'applicazione di elaborazione di testi che è il campione in seno all'agenzia. Tutte le sezioni relative che la squadra di valutazione cercherà all'interno di ogni documento dovrebbero essere included.Text che rimarranno costanti per un tipo particolare del documento inoltre dovrebbero essere incluse. Un programma efficiente ed efficace di C&A avrà mascherine per i seguenti tipi di documenti di C&A:
Categorizzazione e raccomandazione livellata di certificazione
Inventario del software e dei fissaggi
Valutazione di se stesso
Consapevolezza di sicurezza e programma di addestramento
Regole dell'Estremità-Utente di comportamento
Programma Di Risposta Di Avvenimento
Prova di sicurezza e programma di valutazione
Valutazione Di Effetto Di Segretezza
Valutazione Di Rischio Di Affari
Valutazione Di Effetto Di Affari
Piano di emergenza
Programma Dell'Amministrazione Di Configurazione
Valutazione Di Rischio Del Sistema
Programma Di Sicurezza Del Sistema
Rapporto Di Valutazione Di Sicurezza
Le mascherine dovrebbero includere la guida di riferimento per che tipo di soddisfare dovrebbe essere incluso ed anche dovrebbero avere mascherine incorporate di formatting.The dovrebbero essere complete quanto possibile e tutto il testo che dovrebbe rimanere costante ed esattamente gli stessi dentro come i tipi del documento dovrebbero essere included.Though che può sembrare ridondante da avere l'esatto lo stesso testo alla lettera all'inizio per esempio di ogni valutazione di rischio di affari da un'agenzia particolare, ogni documento deve potere levarsi in piedi solo ed avere il significato se è estratto del pacchetto di certificazione per la revisione. Avere wording simile dentro come i documenti inoltre indica che i pacchetti sono stati sviluppati costantemente usando la stessi metodologia e test di verifica.
Con le mascherine stabilite a disposizione, lo rende molto più facile affinchè la squadra di revisione di C&A capisca che cosa è che devono documentare. Anche i consulenti in materia esperti di C&A hanno bisogno ed apprezzano delle mascherine del documento. Trovando le giuste informazioni per includere i documenti di C&A inscatoli da sè da estremamente difficile senza primo dovere calcolare verso l'esterno che cosa è che essete supposti di trovare—quale sono perchè le mascherine sono così molto importanti. Esso’s spesso il caso che una grande applicazione complessa è distribuita e controllata nell'insieme dei reparti multipli o delle divisioni ed esso possono occorrere molto tempo calcolare verso l'esterno non appena che domande da chiedere, ma chi la gente di destra è chi conoscerà le risposte.
Fornisca Le Istruzioni Di Consegna Del Pacchetto
Il vostro programma di C&A dovrebbe includere le informazioni su quanto specificamente il ISSO dovrebbe presentare il pacchetto finale di certificazione alla squadra di valutazione di valutazione team.The deve capire se prevedere il pacchetto dal email, CD, o osservare su una parte protetta della rete. Esso’s una buona idea affinchè agenzie richiedano che sia i documenti del software che della copia stampata sono presentati alla squadra di valutazione. I documenti della copia stampata dovrebbero essere limitati insieme. Suggerisco usando un raccoglitore dell'tre-anello perché è facile da aggiornare un pezzo unico del pacchetto e da inserirlo facilmente dopo la rimozione delle pagine antiquate.
La maggior parte di questi documenti conterranno le informazioni sensibili e per quel motivo, non dovrebbero e-essere spedite a chiunque sopra il Internet a meno che siano protette tramite la crittografia dei 128 bit—tramite la crittografia della lima o attraverso una rete riservata virtuale (VPN). Prima dei documenti e-spedenti di C&A dall'agenzia su tutte le reti pubbliche esterne, dovreste realmente controllare le politiche di sicurezza della vostra agenzia particolare a scoprite che cosa i requisiti sono per la protezione delle informazioni sensibili. Se i consulenti esterni stanno usandi per preparare un pacchetto di certificazione, può molto bene essere che l'unico senso sicuro scambiare i documenti con loro sia affinchè loro venga sul luogo. La maggior parte delle agenzie non installeranno un VPN ai consulenti esterni e convincere le approvazioni per usare la crittografia della lima o i certificati può prenderlo a più tempo che il momento introiti di generare l'intera certificazione Package.Though che può sembrare strascic-bordo, a volte scambiante i documenti in persona per mezzo di un CD o un azionamento dell'istantaneo del USB è il senso più facile scambiare i documenti di C&A.
Generi un processo di valutazione
La valutazione di un pacchetto di certificazione dovrebbe essere una procedura standardizzata. Prima di passare attraverso il pacchetto di certificazione, la squadra di valutazione dovrebbe conoscere esattamente sulla parte anteriore che cosa è che stanno cercando. Le agenzie che non hanno una metodologia standardizzata per i pacchetti di valutazione di certificazione non noteranno bene sulla scheda federale annuale rapporto di sicurezza del calcolatore. Il processo standardizzato dovrebbe essere differente secondo la categoria di sicurezza (livellata) della certificazione Package.There è quattro livelli possibili di sicurezza che i pacchetti di certificazione possono essere preparati in conformità con e questi livelli differenti hanno livello un po'differente di requirements.The è determinato usando il consiglio dal campione federale di elaborazione dell'informazione degli STATI UNITI (FIP) 199.
Autorità ed approvazione
È importante che un programma di C&A è sviluppato e firmato ad un livello elevato all'interno dello scopo di agency.The del programma completamente sarà sconfitto se diversi reparti ogni prova per generare il loro proprio programma di C&A. L'idea è generare un campione ed i mezzi di campione un programma di process.The dovrebbero essere condutti dal CIO o autorizzare il funzionario, anche se tutto il lavoro è delegato la media certificante del doesn’t di agent.That che il personale tecnico all'interno di vari reparti inscatola’la t contribuisce allo sviluppo’di programma s. Alcune delle idee migliori vengono spesso dal personale tecnico che si interessa la maggior parte del particolarmente uno sviluppo di project.The del programma, tuttavia, deve essere organizzato e firmato al livello del CIO, autorizzante il offi- cial e certificante l'agente.
Online: 690 users browsing the articles directory
|
|