كيفية وضع حزمة الشهاده

قبل ستتمكن من البدء في تجميع حزمة الشهاده ، انت بحاجة الى الحصول على اكبر قدر ممكن من المعلومات عن انظمة او تطبيقات certifying.you بأنك ستكون بحاجة الى ان تكون طيبة المخبر ، والا تفقد الثقة فيه تفاصيل تبدو unclear.the مزيد من المعلومات لكم جمع وضوحا في تفاصيل سوف become.you على وشك ان تضع معا لتكنولوجيا المعلومات منشار التخريم اللغز.

ارسالك الحواله ج ا & المشروع

عندما تبدأ لكم قيادتكم ج & مشروعا ، لا نتوقع اي شخص قد لعبت دورا في تطوير وإدارة تطبيق نظم او انت التصديق على بدء العمل التطوعي المعلومات الى use.you لأنك ستحتاج إلى أخذ زمام المبادرة والخروج جمع اكبر قدر كما يمكنك الوثائق ، وإجراء مقابلات مع الموظفين المناسبين. اذا انت خبير استشاري ، اولا لأنكم ستحتاجون الى الرقم المناسب للموظفين الذين هم ان كنت بحاجة الى التحدث الي. سوف تحصل على أسال الكثير من questions.the رعايه مدير الموقع ان تصل اليكم لاستكمال ج ا & هو افضل شخص لبدء this.the رعايه مدير قد يكون نظام المالك ، isso ، موظف متعاقد ، او طلب مدير التنمية.

ان يضعوا معا قائمة الاتصال

عليك اولا من اصل الرقم الذي سوف يكون على معرفة كل خصوصيات الآمن للمعلومات system.you ينبغي ان تبدأ بتحديد شعب involved.the رعايه مدير ينبغي ان يكون قادرا على الاجابه على الكثير من حسابك questions.to تجد المناسبه الناس الذين يفهمون الأمن للنظام او نظم المعلومات التي تحتاج الى الاعتماد ، فأنت في حاجة الى ان تسأل الاسءله التالية :

وكان تطبيق المتقدمه في داخل الشركة أو تم شراؤها من البائعين؟

واذا كان الطلب قد اشتريت من احد البائعين اي كان القيام به لانه التحوير؟

الذين لم التحوير؟

واذا كان تطبيق المتقدمه - في البيت ، الذي صمم عليه؟

هل هناك مواصفات التصميم والوثائق؟ وقد الذين لهم؟

هو تطبيق استضافتها على الموقع او في المواقع الناءيه؟

واذا كان الطلب استضافت عن بعد ، من هو المسؤول عن عملياتها؟

هذه الاسءله هي "من؟" الاسءله. من اجابات لأسئلتك ، عليك ان تكون قادرة على بدء تجميع قائمة الاتصال من الناس الذين كانوا جزءا من تصميم وتنفيذ نظام المعلومات. وتشمل على ارقام الهواتف وعناوين البريد الالكتروني لأنك ستحتاج الى الاتصال بهم في كثير من الاحيان.

بعض الوكالات الفيدراليه هي كبيرة جدا ، ونظرا لحجم العمليات ، واحيانا غير شخصي. عندما كنت على اتصال مختلف الشعب على قائمة الاتصال الخاصة بك ، فعليك ان يشرح لهم من أنت وماذا انت والاتصال بهم. لا نتوقع منهم ان يعرفوا ان أ ج أ & المشروع انه يجري حاليا او حتى معرفة & ج أ يوشك. اذا كنت على اتصال بهم واقول لكم ان الحاجة الى مواجهة معها لمناقشة أ ج أ & المشروع ، ان تكون مستعدة لنقول لهم ما ج & وسيلة لان هناك فرصة جيدة فانها قد لا تكون فكرة ما كنت تتحدث عن.

استيضاحه جميع المعلومات التي ستحتاج الى انشاء شهادة الحزمه هي اشبه الذهاب على كنز هانت. اذا انت خبير استشاري خارجي ، في بداية المشروع ، ومن الممكن تماما أن لا أحد باستثناء الراعية مدير ستعرف لماذا انت على موقعي في الوكالة. ومن المستبعد جدا ان احدهم سيأتي متروك لكم واقول ، "اسمع انت في الموقع ان يضعوا معا لاصدار الشهادات لمجموعة المعلومات التي لدينا نظام. وهنأ جميع السياسات الأمنية ، وتصميم الوثائق ، والأمن تشكيل لمنظومة أنك ستحتاج. "في وكالات اتحاديه كبيرة ، وقد تجربتي انه لا يجوز لأحد بسهولة وبسرعة المتطوعين من المعلومات حول نظام الامن.

عقد الاجتماع من ركلة -

وبمجرد قيامك تبين من اللاعبين الاساسيين هم (الشعب التي كانت جزءا من تصميم وتطوير ، وترميزها ، وتنفيذ نظام المعلومات) ، يجب عليك تحديد موعد لعقد اجتماع من ركلة - وادعوهم جميعا. ان تفعل افضل ما لديكم على شكل علاقات جيدة مع هؤلاء الناس لأنك ستصبح الاعتماد عليها للحصول على معلومات. وخلال الاجتماع من ركلة - أعرض عليهم الى ج & فريق ، ويشرح لهم بايجاز ما ا & ج هو كل ما يهم. وخلال هذه الجلسة الأولى ، يجب عليك ان نقول لهم انكم ستحتاجون قدر التوثيق ، كما يمكنك الحصول على معلومات خاصة ان النظام المزمع اعتمادها. نطلب منهم اذا كان بامكانهم البريد الالكتروني لكم الوثائق فى اقرب وقت ممكن ؛ والا فانها قد تستغرق اسابيع للحصول على انها ستحتاج الى you.you معلومات عن تصميمها وتطويرها وتنفيذها ، والتشكيل ، طوبولوجيا شبكة ، واختبار للنظام المعلومات. انك ستحتاج الى استعراض جميع هذه الوثائق الى ايجاد حق هذه المعاهدات من المعلومات الى موضع الشهاده صفقة.

من الحصول على اي وكالة المبادئ التوجيهيه القائمة

ومن مفتاح لمعرفة ما اذا كان للوكاله انت تعمل لديه ج & كتيب. الوكالات التي لديها في الماضي جيدا وسجل على الحاسوب الامن الاتحادي تقرير البطاقات على الارجح واحدة. الوكالات التي لديها سجل سيء على تقريرهم بطاقه قد لا تكون واحدة. اذا كتيب موجود ، لابد ان تتبع جميع المبادئ التوجيهيه المكتوبة في انه عند اعداد حزمة - اصدار الشهادات الخاصة بك حتى لو كانوا فقراء المبادئ التوجيهيه. واذا كان فريق التقييم هل بوظيفتها على الوجه الصحيح ، وأنها ستكون تقييم الشهاده صفقة لمدى حسن وهو يتبع وكالة ج & كتيب والاحتياجات.

اذا كتيب موجود ، وتظن انها هي اجزاء من الخطأ حتى انك لا ينبغي متابعته ، انت بحاجة الى اتخاذ هذا الامر مع isso وحزمة فريق التقييم قبل اتخاذ اي قرارات. عندما انت تستعد لاصدار الشهادات حزمة ليست بالضروره افضل وقت لمحاولة الحصول على وكالة لتغيير انظمتها وسياساتها. اذا كنت تظن ان بعض اجزاء منه غير صحيحة ، امامكم المضي قدما والى ان تقرر بنفسك بطريقة الذهاب وخلق المزيد من "تصحيح" مجموعة شهادات ، وجعل القضايا الى الاهتمام من isso وتقديم مبرر لماذا كنت تريد الى المضى قدما بشكل مختلف. بعض وكالات ستفشل اصدار الشهادات الخاصة بك حزمة اذا كنت لا تحذوا دليل - حتى لو كان الدليل هو قول يجانبه الصواب.

جميع الوكالات من المفترض ان يكون لها دليل ونماذج لتوحيد عملية ا & ج. ومع ذلك ، بعض وكالات هي اقل استعدادا من غيرها ، واذا كنت السير على ا & ج المشروع ، وذلك للوقوف على اي دليل او قوالب موجودة ، وستسنح لك ان تفعل ما زالت without.you يمكن ان يضعوا معا الصلبه شهادة حزمة دون كتيب او قوالب ، واذا كنت يقوم بعمل جيد ، وربما انك ستكون جند باعتباره مساهما في المستقبل على تطوير الدليل التى تشتد الحاجة اليها وقوالب. اذا ا & ج كتيب ليست موجودة ، ثم نرى ما اذا كان الوالد وكالة واحدة. على سبيل المثال مكتب وكالة او ادارة قد لا يملكن كتيب ، ولكن الأم قد وكالة. اذا لم يكن هناك دليل ج & في جميع موجودة ، واصل الرقم الخاص بك المنهجيه التي ينبغي ان تكون الوكالة باستخدام (nist ، ditscap ، niacap ، التحقيقات 6 / 3) ونتطلع الى ان للارشاد.

يحلل البحث الخاصة بك

مرة كنت قد تلقيت مختلف الوثائق الصادرة عن نظام المعلومات مطوري والاداريين ، فعليك ان نحلل هذه الوثائق لمعرفة ما اذا كانت تشمل نوع المعلومات التي عليك ان تدرج في الشهاده صفقة. ومن المرجح ان الكثير من المعلومات التي تحتاج لتصديق الصفقة لن يدرج في مختلف الوثائق التي تتلقاها. وإذا كان نظام المعلومات (ق) التي تصل ل& ج أ وقد سبق اعتمادها ، ثم تصديق مسبق حزمة ينبغي exist.you ينبغي جعله نقطة لاستعراض مجموعة تصديق مسبق ، واستخدام اي معلومات من هذا انها لا تزال ذات الصلة . واذا كان ثمة شيء يبدو غير صحيحة في تصديق مسبق حزمة ، يجب عليك تصحيح ذلك ، وحتى اذا لم يكن لdefi - استشهد في ciencies قبل اعتمادها.

الى جانب وضع قائمة من الاسءله بشأن أنواع الأشياء لكم ما زلنا بحاجة الى ان نستلهم من مطوري نظام المعلومات والاداريين ، والجدول الزمني لاجتماعات مع الناس يمكن ان تظن افضل بالاجابه عن اسئلتك. يبقى لقاء مع الفريق والاتصال بهم عن طريق الهاتف والبريد الالكتروني حتى جميع اسئلتك هي الاجابه. انها كثيرا ما يستغرق عدة جولات من الاستفسارات قبل ان تتسلم كل المعلومات المناسبه.

اعداد وثائق

ورغم ان هناك من المحتمل ان الانظمه لا تتطلب منكم وضع معا حزمة وثائق التصديق في اي ترتيب معين ، ويحدث ذلك لانني اعتقد ان الترتيب الذي قمت بوضع الوثائق معا أمر هام. فعلى سبيل المثال ، اذا كنت تجميع المعدات والبرمجيات المخزون تصل الجبهة ، وهو يساعدكم في كتابة النص الوصفي عن اعتماد الحدود التي يتطلبها هذا النظام في الخطة الامنية. وفي بعض الحالات ، يمكن ان تجعل الاحساس لك لتغيير ترتيب هذه الوثائق عندما طرح حزمة اصدار الشهادات الخاصة بك معا. النقطه الرئيسية هي ان تتخذ بعيدا لو ان وثيقة تتضمن المعلومات التي تعتمد على مجموعة وثائق سابقة ، قبل وضع الوثيقة الاولى. وسيكون من الصعب ان نعرف كيف معدل الانقطاع اثر للاصول المدرجه في الاعمال التجارية تقييم الاثر اذا كنت لا نعرف حتى الان ما هي الاصول - اذا كانت المعدات والبرمجيات الجرد لم تكتمل بعد.

اوكيه لانها تكون زائدة

العديد من وثائق التصديق في صفقة تشمل المعلومات التي هي زائدة من وثيقة واحدة الى next.the ويرجع السبب في ذلك لأن كل وثيقة تحتاج الى ان تكون قادرة على الوقوف على ارضه. بعض المعلومات التي ترونها لبعض الوثائق السابقة يمكن وينبغى ان تستخدم لاحقا في documents.you نريد ان نعطي الانطباع بأن جميع الوثائق التي تتسق مع بعضها البعض ويدعم كل منهما other.though في اشكال كثيرة من كتابه يجري زائدة وليس من المستصوب ، في صناعة العبوات التصديق ، ومن الضروري. ان احد الامور التي المقيمون أبحث عن تناقضات بين مختلف حزمة وثائق التصديق. وعادة ما يثير اي تضارب العلم وندعو الى توثيق التفتيش.

وكالات مختلفة قد تختلف المتطلبات

لا تحتاج جميع وكالات بالضبط نفس الوثائق للج & آ. Fisma تسمح المرونة ، وكالة واحدة قد تحتاج الى بعض الوثائق ان وكالات اخرى لا require.though ويمكن القول ان هذا امر غير منصف ، fisma كان يهدف الى اتاحة كل وكالة لتحديد احتياجاته الخاصة داخل حدود النص.

بما فى ذلك تعدد التطبيقات ونظم في مجموعة واحدة

يمكنك ان تشمل التطبيقات المتعددة ونظم المعلومات في تصديق واحدة package.to بالتأكيد انها ليس لها اى معنى على الاطلاق لايجاد صفقة لشهادة كل والنظام القائم في الاوقات التي حددتها الوكالة. عليك ان تحدد حدود الاعتماد الخاص بك & ج صفقة على نحو واسع كما انك ربما يمكن. تحديد الحدود هو اعتماد بعض الاحيان اصعب جزء من الجمع بين شهادة package.you الحاجة الى فهم أين يبدأ الاعتماد ويوقفها. وبصفة عامة ، ينبغي لك اختيار أ تحديد الحدود وهذا هو كبير ومنطقي. فعلى سبيل المثال ، اذا كنت تفويض نظم الدعم العام ، قد تريد تحديد الحدود الخاصة بك عن طريق شبكة المجالات. اذا كنت تفويض التطبيقات الرئيسية ، فعليك ان تشمل كل قطعة من البنى التحتية التي تلامس تطبيق.

عادة هو تطبيق البنية التحتية التى تديرها منظمة مختلفة من العام الكامن ونظم الدعم. نظم التشغيل والشبكات المختلفة وعادة ما يكون نظام المعلومات من أصحاب الطلبات. ج & ا وشك عقد نظام المعلومات اصحابها للمساءلة ، ولذا ، فان الحاجة الى الحدود تقع داخل ولاية قضائية على نظام المعلومات الذي فقد السيطرة على المالك. اذا كنت الموثقه طلب ان تعول على دعم النظم العام ان تحصل على تركيبها على تطبيق اعلى ، فان ذلك ينبغي ان يكون واضحا في الشهاده package.an وراء دعم النظام العام له عادة شهادات مجموعة مختلفة من التطبيقات التي يتم تركيبها على رأس لها. عند اصدار الشهادات الخاصة بك حزمة والامن للنظم الخاص بك هو في الجزء تعتمد على النظم الأخرى ، التي يتعين على وجه التحديد يمكن الاشارة stated.you التصديق الاخرى الطرود وغيرها من النظم التي ليست ضمن حدود الاعتماد الخاصة بك في الوثائق الخاصة بك. وسيكون من المعقول تماما لتضاف الى بيان مثل :

التطبيقات الرئيسية وصفت في هذا التصديق حزمة تعتمد على التأييد العام الكامن والنظم التي تم والتي سبق اعتمادها في المستوى 4.

يجب عليك قائمة الرسمي الشهاده اسم الحزمه من اي طرود اخرى ان الاشارة اليكم. اذا كنت لا تعرف اسم الحزمه ، في محاولة لايجاد بها. انها افضل حتى من الحصول على نسخة منه إذا كنت تستطيع. وفي بعض الحالات ، قد يكون ضد السياسات الامنية للوكاله لتبادل هذه المعلومات بين واحد الى آخر المعلومات المالك. ولكن على أقل تقدير ، خارجي مالك المعلومات ينبغي ان يكون قادرا على اطلعكم على وثيقة رسمية باسم وتاريخ النشر من اصدار الشهادات ذات الصلة صفقة.

تأكد من صحه معلوماتك

حالما تكتمل لديك وثيقة من وثائق ، قبل تقديمه الى isso ، وهو من أصل أول ارسال لنظام المعلومات مطوري ومديري التي هي اكثر درايه مع نظم المعلومات انت تسعى الى اعتماد. نطلب منهم للاطلاع عليه وابلاغكم بأي اخطاء وقاءعيه. شبكة الرسوم البيانيه وينبغي ايضا اعادة النظر للتأكد من دقتها. اذا لا شيء له معنى ، فالسبب على الارجح هو إما غير الموثقه توثيقا جيدا او سهل خاطءه. التصديق والاعتماد هو الوقت لضمان ان كل شيء دقيق.

في استعراض وثائق التصميم التي تتلقاها ، لا مجرد افتراض ان المعلومات الواردة فيها هي كيفية تطبيق او نظم المعلومات المتقدمه فعلا. تصاميم الذهاب بميل والتغييرات الاداريه اذهانهم حول الاحتياجات في منتصف الطريق الى المشروع. مجرد نظام للمعلومات كان من المفترض ان تتحول الى طريق واحد ، لا يعني انه لم يتحول الى مختلف way.you الحاجة الى اتخاذ كل ما كنت أقرأ مع حبة الملح ، وطرح اسءله حول الامور التي لا تجعل احساس.

الابقاء على الاخلاقيات الخاصة بك

في معظم الوكالات ، كل نظام المعلومات المالك يريد الشهاده فريق الاستعراض الى القيام به هو الحصول على نظم المعلومات certified.they لا يتفق بالضروره مع يريدون ان يعرفوا كيف لكم سيذهب نحو ذلك ما دمت نحصل عليها القيام به. على الرغم من أنك يجب ان تفعل كل ما هو ممكن لتحقيق ذلك ، وبكل الوسائل لا توفيقي الخاص بك الاخلاق. ج & ا افضل الممارسات...

اعتصموا الخاص بك الاخلاق

أبدا توفيقي الخاص بك الاخلاق. تحت أي ظرف من الظروف ينبغي عليك ابتداع الضوابط الامنية التي لا وجود لها ، او ان الوثيقة قد يخفف من مخاطر اذا لم تكن. واذا كانت المعلومات او المالك isso اليكم الضغوط على بنود الوثيقة أن من الواضح ان ليس صحيحا ، فيجب عليك ان تمتنع عن القيام بذلك وتقرير المشكلة الى الادارة الخاصة بك. اذا كان في اثناء اعداد وثائق التصديق تجد ان بعض الضوابط الامنية التي كان ينبغي تنفيذها لم تكن ، ان تقرير لisso ويوصي بأن تحصل على تنفيذها في اقرب وقت ممكن. طالما انها تنفذ قبل الشهاده الحزمه هي المقدمة ، والوثائق الخاصة بك لن تكون صحيحة. اذا كنت تشعر بأن ليس هناك على الاطلاق ما الطريقة التي نظم المعلومات سوف يحصل على الاعتماد الايجابي ، ومناقشة هذه المساله مع isso. فليس عملك بوصفها وثيقة من وثائق التصديق معد من اجل حل المشكلات الامنية التي كان يجب وضعها سابقا. نظام المعلومات المالك وisso ومن المرجح ان يدرك كل من ضوابط أمنية مكلفه بموجب القانون ، وضرورة ان يكون في مكان. اذا كانوا من الأفراد المسؤولين مع اخلاقيات خاصة بهم ، وانهم لن نتوقع منكم لحل المشاكل وكالة الامن ان لديك اي سيطره.

معظم الوكالات نظم المعلومات يمكن ان من المرجح ان يحصل على المستوى 1 مع الاعتماد بشكل سليم شهادة موثقه صفقة. ولكن ، اذا كانت الضوابط الامنية على انظمة المعلوماتيه ويبدو ان ذلك سيئا كما نفذت إلى حتى لا تبرر المستوى 1 الاعتماد عليكم ان يجتمع مع نظام المعلومات المالك وisso واسداء المشوره لهم من هذا. تأكد من تضمين مبرر لماذا كنت تظن ان ذلك هو خطأ مروع. اذا كان المستوى (1) لا يمكن الحصول على مبرر ، وهناك في الواقع خيارين :

ج & وقف عملية وضعت الضوابط الامنية اللازمة

تواصل مع ا & ج العملية ، وتوثيق دقيق للمعلومات الأمنية القائمة ، والامل المقيم سيمنح الاعمال مالك سلطة مؤقتة لتعمل.

سلطة مؤقتة لتشغيل (iato) هو اساسا بمثابة عزاء الاعتماد ، والمغامره في معظم الحالات تنتهي بعد ستة اشهر. Iato وهو ما يعني ان لديك قناعة المقيمون ان المعلومات المالك هو على الاقل طرح جيد جهدا في السعي من اجل تنفيذ ضوابط امنية مناسبة. ولهذا السبب ، الموثقه الوكيل يمنحك ستة اشهر على ان يدخل حيز الامتثال. وهو عادة iato ستشمل قائمة الضوابط الامنية التي ستحتاج الى ان تكون في المكان عندما تنتهي iato. في ذلك الوقت ، واذا كان من متطلبات iato قد تم الوفاء بها ، وهذا النظام عادة ستتلقي السلطة الى عملية (اتو) ، ولكن إذا لم يكن الأمر كذلك ، نظم يمكن اغلاقها. بدون وجود اعتماد في جهة ، وغاو او وكالة ناسا يمكن ان يأتي في واغلق النظم الخاصة بك الى اسفل. ولكن ، على الرغم من غاو او يمكن ان يوفره تتطلب نظم لاغلاق ، لاغراض عملية ، في واقع الحياة وهذا نادرا ما يحدث. Iato هو بالتأكيد افضل من عدم الاعتماد على الاطلاق.