ステッピングは認定のプロセスを通じ


  Share  
|


高レベルの段階には、 4つのc & process.toから取得する1つの段階を別のは、たくさんのことが起こって道に沿っています。 お手伝いさせてから取得する方法を理解し、次の段階の1つです。

開始相

開始段階で非公式に管理されている情報は通常、システムの所有者とissoます。 その後、すべての情報システムの所有者を認識しなければならないという事実をfisma必要な新たな情報システムを積極的に認定される場合、この急先鋒ないかもしれませんがminds.therefore 、それは完全に可能性がissoをもたらすかもしれないし、必要なc &して、情報システムの所有者の注目を集めた。 必要かどうかのc & aが開始され、また情報システムの所有者、またはisso 、これら2つの間に何らかの形で承認した個人のc & aのニーズに行わなければ発生します。 それを認めていませんなければならないの正式な、あるいは書かれました。 廊下に十分なことができ、簡単な会話に限り、両当事者が来ることに同意を得るの時間に、 c &するプロジェクトが始まりました。

中に開始段階では、情報システムの所有者に同意するものとしてissoすべきリソースを使用するためにはc & aのチームの準備をします。 する必要があるかどうかを決定する前に外部の請負業者を雇う、または内勤スタッフを使用します。 以来、 & c 、適切に行われた場合、仕事は、通常よりもはるかに大きいを実現するほとんどの人は、私に十分な価値を強調することはできませんが外部のコンサルタントを使っています。 まとめあげる認定パッケージは常勤の仕事にして、通常の検索結果が不十分な場合、政府のオフィスしようとしdoubleup 、既存のスタッフ& cを実行する義務を併用して、既存の日課です。

アウトソーシングでの準備を認証パッケージを外部のコンサルタント、それは重要であることを確認して、 issoを彼、あるいは彼女は、有能な人の雇用を適切なexpertise.the isso尋ねるべき数多くの潜在的な契約に質問をする前にenlisting 、同社および同社のスタッフ請負責任者( cotr )合意を閉じました。 ご質問させていただき、 issoを決定する際に、専門家の潜在的な能力をコンサルタントc & aのかもしれません:

他に何かを実行するための機関は、 & c ?

お持ちでトラックレコードを取得する肯定的なaccreditations ?

お名前はc & aの書類を準備していた経験があるか?

を作ることができるでしょう多くの旅行サイトに会うスタッフですか?

あなたのための履歴書を提供することができ、利用可能なコンサルタントか?

既にお持ちの説明を使用するc &サービスを準備中ですか?

他の機関からの参照を提供できますか?

ません。すべてのc & aのコンサルティングサービスは同じです。 請負会社の1つの明確な兆候が完全に理解していない場合にはc & aのリストにはほんの数書類のタイプでは、 c &サービスを説明します。 いくつかの企業のクレームを理解する& cが、たとえば、リストに追加したのは、 c &サービスの構成要素は、自己評価と脆弱性の評価(これはもちろん、画像の部分のみ)します。本当に伝えたいと思うのコンサルタントを雇う全体を理解してボールのワックスを開発することができ、すべての文書に必要なc & aという

それは、過程を複雑にするだけでスローダウンを雇う場合には、たとえば、 1つの企業団体のサービス内容を開発すると他の会社の他の部分を開発しました。 いざ鎌倉& cには、契約を提供する会社を見つけるのワンストップショッピングは本当に、最も効率的な方法を実行します。 1つの優れた方法を確認する方法については、候補者はよく理解しc & aは請負会社に依頼して、プロジェクトの提案のための重要な節目に組み込まれています。 別のプロジェクト提案を比較することにより並んで、それをクリアにすべきだとの候補者のうち、契約会社の最良の専門知識を提供しています。

最後のではなく少なくとも、認証パッケージを準備する前に、 issoなければならないいくつかの理解を提案していないかどうかを認証パッケージは結果を積極的に認定します。 アップフロントしている場合はisso知って適切なセキュリティコントロールされていない場所に入って、そのセキュリティが正しく設定されると、セキュリティポリシーにされていないとして忠実に守って、それは改善を開始する前に、これらの問題を解決するのc & aのprocess.thisませを意味しません。 & cはオプションです。 私が言おうとしている場合は、知っているの弱点が必要な補正を起動して、すぐに訂正しています。 待っていない& cのような時間を、必要な修正を行う前にやって来ました。

nistと忠告した情報システムのセキュリティ計画の中で分析を開始する段階です。 何も悪いことではありますが、理論的にこのアプローチでは、それはよくあることだが、これは、新しい情報システムは、システムのセキュリティ計画が存在します。 まとめあげることで、認証パッケージには、それは可能性が高いシナリオでは、システムのセキュリティを計画されるのいずれかのために書かれ、初めて、または改訂および認証フェーズ中に更新されます。 パッケージの中には、認定以前に認定されてきた、古いシステムのセキュリティ計画はもちろん、すでに存在します。

初期段階の重要な節目

中に開始段階では、要求しておく必要があり、これらの質問:

& cは、 preparers発見されておりますか?

既知のセキュリティの弱点が対処されますか?

は、 fips 199セキュリティの分類完了しましたか?

認証相

認証期間の段階では、認証パッケージが用意されます。

c & aを提案した場合は、ブランドの新しい情報システムでは、事前に認証パッケージはありませんが存在します。 のc & aの場合は、古い情報システムでは、事前に存在すべきパッケージの認定審査のために利用できるとします。 新しいc &必要に応じて3年ごとにします。 情報システムの認証を認可してきたが、以前と呼ばれる"認定"と述べた。 recertifications必要書類のスイートと同じパッケージにして新しい証明書を必要とします。 認定に取り組んでいるときには、以前の認証パッケージを徹底的に検討しなければならないことを確認してすべてのリスクは、前述の古いパッケージを認定しました緩和します。

のc &チームの見直しが必要においでサイトを利用できるように代理店の事務所にインタビューで、情報システムの開発および管理チームします。 それは重要なのc &チームの見直しを学ぶできるだけ多くの情報システムについては、可能な限り多くの質問に尋ねると、 necessary.the情報システムの所有者は自分の開発スタッフに助言を収容のc &チームの見直しを提供してでできるだけ多くの情報については、システムの設計および設定& aというcの予定

c &見直しを構成する可能性のどこかのチームからの少数の人たちには、最大で1ダース以上の複雑さに応じて、情報システム& aというcの予定 何をすべき決定された個人の数はc & aの範囲は、このプロジェクトのチームでは、このプロジェクトの期間とします。 としての範囲を増加させる、減少させる期間で、必要性を再検討チームを大きく& c向上します。 ほとんどのチームを見直す必要& c 、少なくとも3カ月の最小パッケージを組み立てる十分な認証します。 じゃないと思うのは問題外しかし、チームのために、 c &見直しを取る6カ月の認証パッケージを準備するために大規模で複雑なインフラストラクチャにします。 c & aのベストプラクティス…

相認定の重要な節目

デザインや建築確認の書類がします。

脆弱性が発見されます。

リスク軽減の証拠が識別されます。

証明書類が書き込まれます。

代理店の分析が完了するリスクを許容します。

認定の相

相の認定を開始したときの認証パッケージを介してきたcompleted.the評価チームを読み込み認証パッケージ全体として、調査結果を検証する場合は、正確にしている場合で、必要なすべての情報が表示されます。 パッケージにすることで簡単に認証を超える500ページをご覧ください。 少なくとも2 〜 4週間の認定のために割り当てられなければならない段階です。

ほとんどのチームは既に評価のチェックリストを用意し、特定の条件を見つけることを期待する前に、実際には、認証パッケージの評価を開始します。

パッケージの場合、認証を通過ムスターの評価は、推薦されたパッケージには、積極的にaccredited.the認定代理店の勧告を検討し、正当化する限り、これが表示され、正式にサインをするの手紙accreditation.the認定さ手紙また署名されなければならないのisso 、その情報の所有者は、公式の許可、その後に送信されていることを認め、 cio.the cioの手紙を受領した署名されています。 c & aのベストプラクティス…

マイルストーン認定

提出パッケージを評価

決議案のレビューおよびコメント

推薦状を認可する(またはません)

位相の連続監視

かつては情報システムに認定され、継続的に監視しなければならないします。 設定の変更を管理しなければならないだろうと承認プロセスを管理するメカニズムを十分に建てられた。日程の変更やコードの変更はすべてのバージョンの文書にします。 セキュリティ管理すべきであると加えられた変更を監視しなければならない文書化しています。 ファイアウォールのポリシーを変更する場合は、変更を保存すると、変更内容なければならない理由を記載します。 侵入検知の設定変更を行った場合、かれらなければならない理由を十分に説明すると、これらの変更は記載されます。

しているわけではないことが多い場合には、十分な時間近くに入って連続監視相ので、肯定的な認定が下された後、ほとんどのissosとする傾向がある情報システムの所有者と安堵のため息をつくように全体を入れるよう& cプロセスの背後にしてください。 まとめあげるの認定資格を取得するパッケージとは、骨の折れる作業とやるとそれ以上は、その仕事が行われた後、ではありません、通常の議題の後でハイになって誰にも事実である。 しかし、維持するための書類の日付までは、今後のrecertificationsはるかに簡単です。 退役しない限り、情報システムは、実際にそれが必要となるrecertified 3年以内にします。 文書の部分には、認証パッケージを考慮したうえ文書のライブ、そして、いつでも更新することができます。 それはベストを更新するとすぐに文書に変更が加えられるときには、情報システムして以来、新しい情報はほとんどの参加者全員の心に新鮮です。 ドキュメントを更新しないようにリストの上位に重要なタスクを完了し、そのために、認定の更新をお勧めした文書のパッケージに組み込まれている変更管理プロセスです。 文書が更新されるたびに、それを見直すべきだと承認を通じて、変更管理プロセスの両方をアーカイブし、その後で、ローカルおよびオフサイトの場所です。 c & aのベストプラクティス

連続監視の重要な節目

和解のイチゴツナギ類& mの引用

ドキュメントの変更をシステム

セキュリティの継続的なモニタリングコントロール

これは、記事に追加されhemant baidwan

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions