Ci sono quattro livelli differenti per cui i sistemi d'informazione possono essere certificati e livelli di accredited.The quattro sono conosciuti semplicemente come Livello 1, 2 Livelli, Livello 3, o il proprietario del sistema d'informazione del livello 4.The è supposto di decidere a che livello per certificare il sistema d'informazione ed allora da verificarsi compri a quel livello dal official.The d'autorizzazione ISSO e squadra di prearation di C&A dovrebbe aiutare il proprietario del sistema d'informazione nella determinazione del livello adeguato a cui certificare ed accreditare il sistema d'informazione.
|
|
Il Livello 1 è per i sistemi d'informazione che non sono
sensibili ed ha pochi requisiti di sicurezza.
Il Livello 2 è per i sistemi d'informazione che sono in qualche
modo sensibili ed ha alcune esigenze di riservatezza, di integrità, o
di disponibilità.
Il Livello 3 è per i sistemi con le informazioni sensibili che
hanno esigenze di riservatezza significative, di integrità e di
disponibilità.
Il Livello 4 è per i sistemi d'informazione estremamente
sensibili che hanno gli più alti requisiti di riservatezza, di
integrità e di disponibilità.
La maggior parte dei sistemi d'informazione entreranno nella
categoria di Livelli 2 o 3. Decidendo a quale livello
certificare ed accreditare i vostri sistemi d'informazione—2 o 3—possono thoughtprovoking piuttosto.
Un Livello 1 C&A richiede una revisione minima di sicurezza. Un pacchetto di certificazione del Livello 1 richiede soltanto un programma di sicurezza, un inventario del bene e completato
Valutazione di se stesso Di Sicurezza. Additionaly, le politiche di sicurezza deve essere definito chiaramente. Una valutazione di se stesso del campione può essere trovata nell'appendice D. Alcune agenzie possono avere requisiti differenti di un Livello 1 e dovreste naturalmente sempre seguire la guida di riferimento attuale dell'agenzia.
I sistemi d'informazione che possono richiedere tipicamente un Livello 1 C&A sono sistemi quello:
■ Pubblichi le informazioni del grande
pubblico
■ Trasporti il courseware ed i
programmi di formazione
■ Pubblichi le informazioni sulle
informazioni di prodotto
■ Pubblichi le informazioni sulle
politiche del posto di lavoro
■ Pubblichi le forme, i programmi, o
le tabelle che sono nonsensitive
Un Livello 2 C&A richiede una revisione e un'analisi di base della sicurezza del sistema d'informazione. Un Livello 2 C&A richiede tutto incluso in un Livello 1, più un insieme completo dei documenti di C&A e una prova di sicurezza & una valutazione (ST&E), (ma non i risultati della prova). Le politiche di sicurezza devono essere definite ed effettuate chiaramente. Se un'agenzia richiede qualche cosa di differente che che cosa suggerisco qui, dovreste rinviare alle raccomandazioni dell'agenzia.
I sistemi d'informazione che possono richiedere tipicamente un Livello 2 C&A sono sistemi d'informazione quello:
■ Sono usati per i contratti, le
proposte e le azioni giudiziarie
■ Sono usati per le applicazioni del
bilancio del capitale
■ Applicazioni dell'ufficio di serv
■ Funzioni le applicazioni
dell'amministrazione dei benefici
■ Controlli le transazioni
dell'amministrazione della catena di rifornimento
Un Livello 3 C&A richiede una revisione e
un'analisi dettagliate della sicurezza del sistema d'informazione.
Un Livello 3 C&A richiede tutto che sia richiesto in un Livello
1 e 2 C&A, più un'esplorazione di vulnerabilità della rete, così
come gli esami che provano quello sono stati le politiche
correttamente effettuate di sicurezza. Alcune agenzie possono
avere requisiti differenti di un Livello 3 e dovreste usare la guida
di riferimento dell'agenzia e seguire sempre le raccomandazioni in
loro manuale.
I sistemi d'informazione che possono richiedere tipicamente un
Livello 3 C&A sono sistemi d'informazione quello:
■ Controlli le informazioni o la
sicurezza fisica
■ Controlli i funzionamenti delle
operazioni finanziarie
■ Funzioni le applicazioni
dell'amministrazione del libro paga
■ Trasmetta le informazioni di
intelligenza
■ Comunichi le informazioni sulle
sostanze pericolose
Un Livello 4 C&A richiede una vaste revisione ed analisi della sicurezza del sistema d'informazione. Tutti gli articoli richiesti per i Livelli 1, 2 e 3 sono richiesti per un Livello 4, più una prova di penetrazione e la conferma che tutte le prove di sicurezza sono state passate. Alcune agenzie possono avere requisiti differenti dei Livelli 4 e giusto come con i Livelli 1, 2, o 3, dovreste rinviare sempre al consiglio dell'agenzia.
I sistemi d'informazione che possono richiedere tipicamente un Livello 4 C&A sono sistemi d'informazione quello:
■ Funzioni e controlli le piante di
energia nucleare
■ Prenda le decisioni sopra dove
cadere una bomba
■ Controlli un paziente durante la
chirurgia
■ Faccia funzionare e controlli una
grande diga
■ Controlli e funzioni le facilità
dei mezzi di trasporto di massa
■ Controlli la qualità dell'acqua e
la sicurezza di acqua potabile pubblica
■ Controlli il reparto segreto
superiore dei progetti della difesa
■ Impedisca gli attacchi del
terrorista
■ Realizzi le grandi transazioni
monetarie
La determinazione del livello del pacchetto di certificazione sulla parte anteriore è una delle parti di C&A.There spesso-trascurate è organizzazioni numerose che indossano’la t effettuano questa operazione fino a sviluppare l'intero pacchetto di certificazione, che è il senso errato assoluto andare circa questo. Uno dei motivi per la determinazione del livello sulla parte anteriore è perché il livello determina che tipi di fabbisogni informativi essere incluso nel pacchetto di certificazione di certificazione Package.The è la prova che i rischi di sicurezza sono stati capiti ed il livello elevato attenuato di properly.The della certificazione che si cerca, più prova è richiesto. Per esempio, l'esame di vulnerabilità della rete è richiesto per la certificazione del Livello 3, ma non per il Livello 2. Se state cercando la certificazione Livello 3, dovete completare un'esplorazione di vulnerabilità della rete e richiamare risultare rischia identificato ed include queste informazioni come componente del pacchetto di certificazione.
Online: 835 users browsing the articles directory
|
|