な役割と責任をcreditationと認定カリフォルニア州

Share

|

c ＆ aの活動には多くの異なるすべての人たちの共同作業に別のタスクをします。 ある人は、開発のc ＆ aのプログラムでは、認証パッケージを準備する人は、人が責任を認定したパッケージは、監査人の代理店を評価する認定資格のパッケージに先立ち、および連邦政府機関の監査人の査察官彼らがやっていることを確認し、正しいやり方＆ cします。

最高情報責任者

代理店の最高情報責任者（ cioの）責任者は、最も明白な情報セキュリティプログラムを成功させるためのプログラムとc ＆ました。 これは、 cioの責任があることを確認しての情報セキュリティプログラムなど、プログラムのc ＆ 、が存在し、かつ実装されます。 ただし、ほとんどの収集を行う機会を再生できません代理店の手でこれらのプログラムを開発する役割を果たします。 cioの指定は、通常、これらのプログラムの開発をして代理店の上級情報セキュリティ責任者です。 しかし、構文のプログラムを開発しているということではありませんcioの過程を理解する必要はありませんします。 cioの場合、すべての要素を理解していませんが、プログラム＆ cに成功する可能性はほとんどないことを行うことができるようになりcioの上級情報セキュリティ責任者代理店の完全なプログラムを開発する責任を負います。 明細を理解せずに、どのようなプログラムを含めると、 cioのかどうか分からないが、代理店の上級情報セキュリティ責任者は、何も残っています。

一片のc ＆することはできませんが見落とししているため、 cioの予算を開発するのc ＆ aという c ＆ aの時間は非常に集中し、典型的なc ＆ aの平均は6カ月以内であれば徹底的な仕事ですが、いっぱいで、必要なすべてinformation.the cioの作品を承認するとともに、公式にあることを確認し、十分な予算をスタッフのリソースをまとめるために必要な証明書のプログラムです。 ていない場合に収集を行う機会＆ cの予算には、 c ＆ aを得るdone.the cioのかもしれません＆ cを有効にするに行われる米連邦予算のプロセスを完全に理解したときのように記載される出版物を出す、ホワイトハウスと呼ばれる円形いいえ。一- 11第7部計画、予算編成、買収、および資本の資産管理します。この出版物は、現在のところ利用できwww.whitehouse.gov/omb/circulars/a11/2002/part7.pdfます。 一- 11第7部を参照して他の予算cioのガイドラインに精通しても必要となるなど、 1つとして知られomb展示300 。 omb展示300は、現在のところ利用できwww.cio.gov/archive/s300_05_ draft_0430.pdfます。

それは最終的にはcioの責任を負うことが予想される場合は、代理店の責任を受信するとかわいそうなグレードは、年次報告書の連邦コンピュータセキュリティカードにあります。 1つの責任のcioのことを心配するのは、連邦政府の年次報告書コンピュータセキュリティカードのグレードします。 エージェントを受信する場合は不合格、そして明確には何か悪いことではc ＆ aのプログラム自体のいずれか、または、プログラムがどのように実装されます。 エージェントを受信する場合、上位のスコアの年次報告書連邦政府のコンピュータセキュリティカード、そして限り＆ cには、このプロセスが正しい方法で働いています。 連邦政府のコンピュータセキュリティレポートとしてますます多くの国民の注目のカードを得る毎年、貧しいスコアカードは、報告書にキャリアを制限することができないエージェントcioの経験をします。

公式許可

総称して許可するためには、 公式のシニア内での公式代理店を経営する作戦を承認した情報システムでは、リスクに関連付けられていると公言しても使用できます。 それはないと思われた人は任意のホールドのタイトルを"許可する関係者は、 "だから私はここにいないpunctuatingすることを許可する資本letters.there可能性があり、複数の関係者内での各機関は、指定された場所、自分のすべての責任を負います。 多くの機関は、公式の許可は、指定されたと呼ばれる認定局（ daa ）します。

公式には、通常の予算を承認していることを確認し責任をある程度の資源が引き当てるのc ＆プロセスを統括します。 通常、代理店cioのレポートを公式許可します。 しかし、大規模な機関で、いくつかの事務局に報告書を代理店cioの収集を行う機会は、することができcioのケースではあるが、正式な許可します。 その他の場合は、許可するかもしれません。委員会の関係者やアシスタントコミッショナーます。 cioのを許可する場合は、公式には2つの異なる人たちは、協力しなければならないことを確認して、十分な予算が設定されてcのはさておき＆ aという 許可しなければ公式によると、 米国立標準、特別出版800-37 （ 2004年5月）は、米国政府の従業員とすることはできません請負業者やコンサルタントだった。 しかし、正式な許可を指定するには、さまざまなタスクを遂行する担当者に関連する＆ cには、指定されたとする請負業者やコンサルタントの担当者にすることができます。 しかし、最終的な決定とその添付のセキュリティ認定資格認定手紙を決定しなければならないと署名され、米国政府が所有して従業員の関係者は、許可します。

代理店の上級情報セキュリティ責任者

代理店の上級情報セキュリティ責任者（ saiso ）は、人を保持してcioの説明責任を監視して、すべての機関の情報セキュリティinitiatives.the saisoは親類に、最高情報セキュリティ責任者、民間産業ます。 それはこの役割を実行する可能性があるかもしれ収集を行う機会自体は、ご希望される場合がありません。これらの持ち株を個別に個人の責任だ。

代理店を許可してsaisoで動作していることを確認し、関係者で合意した情報システムのセキュリティ要件と同様に重要な文書に含まれる認証パッケージのようなセキュリティリスクアセスメントと計画します。 での共同作業は、 saisoとしていることを確認しなければ許可する当局者の任務を考慮に入れて、代理店やビジネスの要件です。

経営の監視してsaisoを提供して認証エージェントと、彼または彼女に動作することを確認してはc ＆ aの考え抜かれたプロセスは、必要なすべてのドキュメントが含まれ、 guidance.the saisoを任命し、認定代理店の責任を保持して実行するための職務ます。 これは非常に重要なのsaisoを選択して認証エージェント（秒）を慎重に頼っているため、彼らは彼らの認定を提言する必要があります。 希望のsaiso可能性を確認するすべてのパッケージは、認証機関内の処理;しかし、実際問題として、それは横にこれを行うには不可能です。 ほとんどの機関では、あまりに多くのパッケージを1つの証明書を確認し、個別に検証します。 まさにこの理由のために、 saisoの従業員に認定代理店（または代理店）のパッケージを読んで、評価を実行し、書き込みの提言は、ドキュメントを生成すると、セキュリティ評価報告書と呼ばれます。 報告書は、セキュリティ評価の概要と基本的に評価すべきとサポートを正当化するの推薦されないように認定するかどうかを評価してpackage.the セキュリティなければならないすべての情報を報告してsaisoニーズに署名することを正当化する手紙を認定し、エスカレートの推薦を上方offi - cialを許可するかどうかをしなければならないサイン手紙を認定しています。

プライバシーの公式のシニアエージェント

各代理店は関係者のプライバシーを持つシニアエージェントます。 は、大規模代理店、関係者のプライバシーのシニアエージェントフルタイムで仕事をするかもしれませんします。 しかし、小さい代理店、それは可能性があり、この関係者の責任を実行される可能性がありcioのは、 cioのスタッフ、またはsaiso.the人にこの役割を果たす可能性を開くのタイトルや彼の最高プライバシー責任者彼女は、必ずしもなければならないのシニアと呼ばれるプライバシーの公式代理店です。 何に最も重要なのは誰かが指名されるの職務を遂行するの機密情報や個人情報を守ることです。

認定代理店/評価チーム

認証認定代理店のレビューパッケージとしての提言を作成するかどうか肯定的な正当性を保証する認定またはません。

基本的には、認定代理店の役割を果たすauditor.theyくしを通じて、失われた情報を探して扱いにくいパッケージを認定していないとの情報をsense.theirを目標としているかどうかは、パッケージに準拠して、機関の文書＆ cハンドブック、プロセス、セキュリティポリシー、および情報システムのセキュリティ要件です。 いくつかの代理店では、非常に多くのパッケージを評価して認定代理店で構成する評価team.theチームの可能性があるミッション保証部門などの名前を、情報保証、またはcompliance.the組織の大部分の名前は、関連性の低い違うかもしれない代理店代理店をします。

のc ＆ aのパッケージを検討した後、認定代理店、または評価チームは、当局の認定を提言して内部のsaisoと公式に許可されなければならないかどうかは、パッケージまたは認定ません。 ほとんどの場合、 saisoと許可の推薦を受け付け、認定の公式代理店、および認定の兆候は手紙のみに基づいて勧告の認定代理店です。 推薦とともに、認定代理店も含まれると、セキュリティアセスメントレポートが生成されます。 セキュリティ評価すべき報告書の勧告を正当化します。

認証時には、チームのエージェントの人、彼らは通常、さまざまなタスクを分割する必要があり達成を促進するためのプロセスです。 たとえば、 1つのパッケージを評価するかもしれない人のためのサポート全般システムでは、別の人かもしれないパッケージを評価するための主要なアプリケーションは、更新したテンプレートを作成し、他の人かもしれないし、他の人かもしれないハンドブックを更新しています。

認証エージェントの開発にも責任を負う＆ c内部プロセス、およびすべてのマニュアルを参照して、このプロセスを説明し、ハンドブック-とtemplates.theマニュアルを参照して認証エージェントの開発を評価するためには、パッケージをチェックリストやスコアカードがあります。 スコアカードを記入しなければならないとの整合性のhandbook.theチェックリストのテンプレートとヘルプの認定代理店を書くのセキュリティアセスメントレポートします。

認定している可能性が代理店と代理店の上級情報セキュリティ責任者かもしれないので、同じ人かもしれませんが、いくつかの小さな代理店が異なる2つのリソースを内部のスタッフに割り当てられたこれらの役割をします。 認定した場合は、 1つのエージェントとsaisoは、同じ人が、その代理店認定により、認定の勧告を承認しofficial.the認定はありません。代理店の最終決定をするかどうかはc ＆パッケージなければならない-彼、あるいは彼女を認可提言だけでなければならないかどうかは、パッケージを認定します。

客観性を示すためには、それは大抵の場合は、外部のコンサルタントを評価チームで構成されます。 fisma 、 § 3454状態：エージェントは、各年ごとに評価が行われ、独立した情報のセキュリティプログラムと実践して代理店のようなプログラムの有効性を判断するとしている。

エージェントを使用するかを決めた場合は、独自のスタッフ、いることを確認しなければならないことは、明確な職務の分離の間の評価と提示している組織のc ＆ aのパッケージを評価します。

ビジネスオーナー

ビジネスオーナーは汎用システムの所有者情報を参照して、そしてそれは従業員のようなものはありませんが、代理店のタイトル"情報システムの所有者は、 "これはなぜ私はここにいない資産の用語です。 情報システムの所有者の可能性があるプログラムマネージャ、アプリケーションマネージャ、監督すること、またはエンジニアリングディレクターたとえばました。 手短に言えば、それは責任を負う人が、情報システムの開発や操作します。

システムの所有者の情報を取得するには、通常、 1つのボールを転がし人のために新しいc ＆プロジェクトです。 情報システムの所有者を確認して、必要な情報をシステムが完全に認定されてから、生産に入っています。 かつての情報システムは、生産、それする必要がありrecertifiedと3年ごとに認定します。

これは、情報システムの所有者の責任を任命する責任者のための情報システムのセキュリティが必要なシステムc ＆ aという

システム所有者

システムの所有者は、その人のシステム管理者の責任を負うことはc ＆ aのアプリケーションを実行します。 システムの所有者は、 1つのローンのシステム管理者、またはシステム部門ます。 大規模な分散アプリケーションで、それは可能性があり、別のシステムでは、アプリケーションのインフラストラクチャ一片の所有者が異なるシステムです。 ときには、さまざまなアプリケーションの大規模な分散システムの所有者は、別のシステムであるために、所有者または別の場所にすることができ別の地理的な建物です。 すべてのc ＆ aのパッケージには、パッケージをするかどうかは、主要なアプリケーション、またはサービスのインフラ全般をサポートし、アプリケーションを実行することは、人を指定しなければ、システムの所有者is.theシステムの所有者は、人を提供するシステムsupport.theシステム資産の所有者に示されなければならない在庫ます。システムの所有者の連絡先情報を示されていなければならないコンティンジェンシープランやビジネス影響評価します。

オーナー情報

人の情報の所有者が所有してdata.the情報の所有者は、心配でデータの整合性、および通信システムの所有者についての問題に関連して、システムのセキュリティ管理やデータベースのデータが格納さon.the人、または部門は、データを所有して、いつもと同じではありませんシステムの所有者が、それかもしれないします。 多くの場合、システムの所有者のデータを保持している情報owner.the情報の所有者にレポートを出してくれる人が多いのかもしれない、データベースの所有者とビジネスマネージャ、またはアプリケーションマネージャです。 ている可能性がいくつかの団体のビジネス情報の所有者と所有者が同じ人だ。

それは可能性があり、システム上のデータ＆ cの予定で、別の管轄下にある滝に比べて、システムの所有者です。 することも可能としている情報の所有者は、 1つのシステムの所有者と同じ人だ。 ときどき投与するかもしれないとのデータベースで管理されている証明書の分野での専門家がいます。 もし、システムの所有者と所有者の情報はありませんが、同じ人の1つは、この証明書に記載されなければならないパッケージには、 在庫の資産ます。

情報システムセキュリティ責任者

情報システムセキュリティ責任者（ isso ）の責任者の情報を管理するためのセキュリティシステムでは、予定のc ＆ aというのisso insuresして情報システムに準拠して設定は機関の情報セキュリティポリシーをご覧ください。 認定のすべての文書のパッケージのいずれかが用意されisso 、または、 isso 、請負業者のスタッフまたはされました。 通常issosが大きい皿と責任を増大させる可能性があり、自分たちの職員請負業者を準備するパッケージを迅速に認定します。 珍しいことではないの1つissoのために責任準備のための半ダースc ＆ aのパッケージです。 以来一つのc ＆パッケージは、年をとる可能性を簡単に精通して安全保障の専門家を準備し、それは標準的とみなされ、 issosを雇う許容コンサルタント代理店の外からの証明書を準備しています。 また、客観性を向上させ、パッケージを認証することが準備されていないサードパーティ製の個人団体は、独自の代理店のスタッフします。

パッケージに一度の認証が完了すると、 isso男性人のチームを評価して収益を検証してfindings.the評価チームは、認定代理店を拡張します。 ていない場合、認定代理店を任命、または組み立てる評価チームは、認定代理店を評価する認定制度の準備をしなければならないと勧告するパッケージを発行するかどうかを積極的に認定します。

c ＆ aのpreparers

のc ＆ aのpreparers 、と呼ばれることはc ＆ aの審査チームは、認証パッケージを準備してチームの評価を提出します。 多くの場合、はc ＆ aのpreparersは外consultants.the c ＆ preparersすることもでき、内部の混合チームは、外部のコンサルタントや代理店のスタッフします。 のc ＆ aのpreparersのために働くの情報システムの所有者ですが、たいていの指導の下での情報システムのセキュリティに就任する。 まとめあげることになると、認証パッケージには、それはのc ＆ aのpreparersして実行して大部分のwork.the c ＆ preparersする必要があり、情報セキュリティの専門家の背景を理解したときの幅のさまざまな側面のセキュリティアーキテクチャは、情報の機密性、情報の整合性、情報の可用性、セキュリティポリシー、およびfisma規制します。

査察官代理店

ガオからの訪問に備えるため、すべての機関、およびいくつかの局は、査察官が、自分のサイトをして来て代理店の事務所を定期的に評価が行われた場合の適切なfisma準拠します。 ほとんどの場合、代理店査察官の必要はありません多くの高度な通知を与えるとその場所を取ることができずにwarning.the代理店を訪問査察官から来る代理店の内部監察官事務所（ oig ）します。 oig多くの代理店の事務所には、独自のウェブサイト、および読むことができますの詳細については、別の責任のoigています。

環境保護局www.epa.gov/oigearth/

米連邦通信委員会www.fcc.gov/oig/

農業科www.usda.gov/oig/

科保健福祉サービスhttp://oig.hhs.gov/

社会保障局www.ssa.gov/oig/

米国郵政公社www.uspsoig.gov/

oigの目標は、代理店に乗ろうとした問題を解決するようにしていないとして表示されて欠乏ガオreports.the oigの事務所には、独自の調査と審査のプロセスとは違ったかもしれoig事務所の監査を実行して、さまざまな方法があります。 oigの事務所にはもっと気を配っては、監査性が高くなり、審査のプロセスを防ぐため、代理店からの高さが不足し査察官として挙げられます。

gaoの査察官

監視監査役から、 gaoの連邦政府機関を訪問し、毎年恒例の基準、および認定認証パッケージを見直してきたことを確認しても認定properly.the gaoのレビュー＆エージェントのcのプロセスが受け入れられるかどうかを判別することだ。 gaoの認定を検出している場合は認定パッケージが不適切な場合、またはその代理店のc ＆ aのプロセスが不足し、いかなるかたちで、代理店の関係者は、文書の結果を受け取ると、代理店は、成績の悪い連邦政府のコンピュータセキュリティ上の年次報告書カードです。 コンピュータセキュリティカードは、米連邦公開報告され、毎年、米政府改革委員会です。

レベルの監査

評価チームを考慮し、査察官oig 、およびgaoの査察官は、見ることができ、 fismaプロセスの低いレベルの厳格な監査（図3.1 ）します。 通常はありません未満の3つのレベルの監査します。 いくつかの代理店があるかもしれないレベルの監査追加します。 認定後、評価チームレビューパッケージには、それは別の可能性があるかもしれ内部組織のコンプライアンスを確認して再度認証パッケージを見なかった場合、チームの仕事を正しく評価します。 評価チームは、元の補助や、コンプライアンスチームに同意しないかもしれませんが事実かどうかを認定認証パッケージなければならないし、頻繁に2つの内部監査をしなければならない数多くの団体の間で議論して来て、最終的な合意に認定勧告します。 非常に多くのことができなくレベルの監査実際に行き過ぎのように思われる;しかし、このようにしてほしいままに、これらの機関の監査redundancies 、職務の分離と、多くの場合、運賃の最良の報告書は、連邦政府のコンピュータセキュリティカードにあります。

fismaレベルの認定を検討して監査するためのパッケージ

gaoの査察官
¬
査察官oig
¬
認定代理店
¬
評価チーム
¬
認証パッケージ