問題のないことを認証/認定プログラム


  Share  
|


代理店持っていない場合は、標準的なプログラム& c 、期待することができのc &プロセスを過度に複雑になると非常に混乱します。 c & aのpreparersされません知っているそれぞれのパッケージに含まれなければならない、と知っているどちらかといえば評価されませんが行方不明です。

不明情報

せずに、 c &プログラムは、さまざまな認証パッケージさまざまな種類の情報が含まれます。 たとえば、処方なしで、標準的なプログラム& c 、 1つのパッケージの認証があるかもしれない情報技術コンティンジェンシープラン( itcp )や他のかもしれません。 証明書が含まれる1つのパッケージには、ネットワークトポロジマップ、および他のかもしれません。 時間を評価することになるときに全体の認証パッケージには、パッケージに失敗することは難しいていないといっていない場合、コンティンジェンシープランの情報技術政策や組織のこれまでのプロセスを1つに必要なのは、そもそも存在します。 を保持することは非常に難しい情報システムの所有者とissos責任をまとめあげるの適切な認証パッケージを定義していない場合、どのような機関が正確に適切な認証パッケージを構成します。

無秩序

指定して右にかかわらず、認証情報を含めるパッケージ一番の重要性は、パッケージのフォーマットを見落としてはいけませんします。 パッケージに認定することができ500ページとなります。 1つは、各組織でない限り、同じように、それは非常に煩雑な評価のために膨大な数の情報とを乗り切るかどうかを確認しました材料のすべての権利に含まれます。 それは最高の評価を行うことは、非常に簡単です。 評価を行うことはできません表か裏のうちに提出した情報を表示したり、キーの種類の情報を見つけることはできません、消極的になるだろうが、パッケージに認定をお勧めします。

評価プロセスの矛盾

各パッケージを証明したいと同じ方法で評価します。 1つのエージェント可能性があり、さまざまなevaluators.withoutいかなる種類の標準的なフォーマットのコンテンツまたは認定パッケージは、現在のままにして全体を評価する主観的な意見の1つ(または小グループ)の人です。 別の評価がさまざまな分野に重点が置かれました。 パッケージには、各組織の場合と同じ形式で、それが改善される可能性を評価する評価して別のパッケージと同じ方法を探すために彼らは、同じ種類の情報を期待しています。

未知のセキュリティアーキテクチャと設定

認定せずに、パッケージには、かもしれないケースでは、セキュリティアーキテクチャとインフラストラクチャの設定ではありません、お客様の情報を知られている。 作業を介してのc & aの過程で、知っているかどうかになるでしょうが、このケースとなかろうとします。 セキュリティアーキテクチャよく説明している場合は、 c & aを兼任していることを確認する機会をネットワークアーキテクチャ図や地図が正しいことです。 ドキュメントに書かれていない場合は井戸、またはすべてありません、これは何かを研究していただくたいとdiagram.the同じことが当てはまり、セキュリティ設定されます。 必要なすべてのソフトウェアを構成します。 オペレーティングシステムやアプリケーションをインストールしたときには、たとえ彼らは確実にインストールし、セキュリティ設定は、ドキュメントに書かれますか? 場合、セキュリティ設定はありません、彼らは基本的に不明である。 ベテランのシステム管理者や専門家でさえ、通常はできません細かいことをいちいち覚えていたシステムを設定するときに行われているため今日のオペレーティングシステムやアプリケーションには、とても機能rich.thatはなぜセキュリティアーキテクチャと設定のドキュメントはcritical.the c &プロセス設計を見つけるのは、元のアーキテクチャとセキュリティ設定を解決し、その後に必要な文書を作成し元の道に沿っています。

未知のリスク

連邦法はさておき、主な理由を理解したときの姿勢で、お客様の情報システムのセキュリティはリスクを識別し、理解し、かかる軽減actions.with c &未定義のままに、あなたはあなたのままにしたいのリスク代理店を探して開く投機をします。 たぶん、代理店issosは、すべてのキーを識別するリスクが、彼らのかもしれませんします。 1つissoかもしれ災害復旧計画に重点が置かれて、別のシステムに重点を置くかもしれないリスクを高めます。 それはないと思われみんなには、同じ情報セキュリティのあらゆる側面に重点を置いています。 リスクを識別することになると、そこには多数のアイテムを考慮に入れるconsideration.thereは、ビジネス上のリスクは、システムのリスク、トレーニングのリスクは、政策上のリスク、在庫リスク、および& cだからon.aよく定義することにより、すべての関連するプログラム種類のリスクが考慮します。

法律やレポートカード

される場合があり驚いたことを確認する言葉を"認証"と"認定"が使用されていません連邦情報セキュリティ法の2002年です。 しかし、この法律の要件を非常に明確州の情報セキュリティプログラム、および名前も、このプログラムの必須要素です。 多くの要素が必要な情報セキュリティプログラムは、これらの義務を負うことが発展して今すぐとして知られる"認証と認定"と述べた。たとえサーバーエージェントと呼ばれるプログラムが何か他に言う"プログラムのセキュリティ検証" -すべての同じこのプログラムの要素を得るだろうrequired.youすべきではないという事実にこだわるの条件はありませんを参照してください"認証"や"認定"と書かれlaw.theという名前の要素のプログラムは法律で義務付けられてどんなにあなたに見合っている。 これらの要素をせずに、情報セキュリティプログラムを持たずに、代理店は、法律違反にします。 さらに重要なことに、政府機関が権利を持っていない要素が含まれてかわいそうな情報セキュリティプログラムは、連邦政府のコンピュータセキュリティ報告書を入手カード等級があります。

これは、記事に追加されhemant baidwan

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions