有4种不同层次的信息系统,可认证,并accredited.the四个层次是众所周知的仅仅作为第一级,第二级,第三级,即一级4 ,信息系统的所有者是,以决定在什么水平,以证明资料系统,然后获得买进,在该水平,从授权official.the种田和老甲肝队应当协助信息系统所有者确定适当的层次上,以证明和认可的信息系统。
|
|
第一级是对信息系统不敏感,并有少数的安全要求。
第二级是为信息系统,是有点敏感,并有某种保密性,完整性,或可用性的要求。
第三级是系统的敏感资料有显着的保密性,完整性和供货要求。
第4级是极为敏感的信息系统,具有最高要求的保密性,完整性和可用性。
大多数的信息系统,将属于2级或3 。 决定在哪一个水平,以证明和认可你的信息系统- 2或3 ,可有点thoughtprovoking 。
第1级老需要一个最低限度的安全审查。 第1级认证包仅需要一个安全计划,资产清查,并完成
安全自我评估。 additionaly ,安全政策必须明确界定。 样本,进行自我评估,可以发现在附录四部分机构可能有不同的要求,为第1级,你当然要始终按照现行机构的准则。
信息系统通常可能需要一个1级老是系统:
■出版的一般公共信息
■提供课件和培训计划
■信息发布产品信息
■发表资料,对工作场所政策
■出版形式,地图,图表或正在nonsensitive
2级老需要一个基本的审查和分析与安全的信息系统。 2级老需要的一切,包括在第1级,再加上一套完整的老文件,并有一个安全测试与评估(圣急症室) , (但不包括测试结果) 。 安全政策必须明确界定和落实。 如果一个机构要求有什么不同,我建议在这里,你应该推迟到该机构的建议。
信息系统通常可能需要一个2级老是信息系统:
■是用于合同的建议,并提出诉讼
■用于资本预算申请
■服务厅申请
■经营效益管理应用
■管理,供应链管理交易
3级老需要详细审查和分析有关安全的信息系统。 3级老需要的一切,必须在第1级和2 c收购,再加上网络的脆弱性扫描,以及测试表明,已正确实施安全政策。 一些机构可能有不同的要求,为3级,你应该总是使用该机构的准则,并依照建议在其手册。
信息系统通常可能需要一个3级老是信息系统:
■监测资料或人身安全
■管理业务的金融交易
■经营薪资管理应用
■传输情报信息
■沟通信息有关危险物质
水平四日老需要广泛审查和分析与安全的信息系统。 所有项目所需的水平, 1 , 2 , 3 ,须为第4级,并加上贯入试验,并确认通过所有安全测试,均获通过。 一些机构可能有不同的要求,为第4级,并如以往一样的水平, 1 , 2 , 3 ,你应该永远听从该机构的指导。
信息系统通常可能需要一个4级老是信息系统:
■操作和监测核电厂
■决定对那里掉了炸弹
■监测病人在手术
■操作和监控大型水坝
■管理及经营地下交通设施
■监测水质和安全的公共饮用水
■管理绝密情报署的国防工程
■防止恐怖袭击
■演出大型金融交易
确定级别的认证包了阵地,是一个最经常被忽略的部分,海关甲,有许多组织,不履行这一步骤,直到整个认证方案,已经研制成功,这是绝对错误的做法到这方面的问题。 其中一个原因是定水平,直至阵地,是因为该级别确定哪些类型的信息必须包括在认证package.the认证一揽子证据表明,安全风险一直相互理解,缓解properly.the更高层次的认证之一目的是,更多的证据要求。 举例来说,网络脆弱性扫描所需的3级认证,但不为2级。 如果你正寻求第3级认证,你需要完成一个网络脆弱性扫描和解决由此产生的风险,并确定了包括这方面的资料,作为部分的认证方案。
Online: 837 users browsing the articles directory
|
|