Problemas de não ter um programa da certificação/accreditation

Share

|

Se sua agência não tiver um programa estandardizado de C&A, você pode esperar o processo de C&A tornar-se extremamente desconcertante e complicado excedente. Os preparers de C&A não saberão o que deve ser incluído em cada pacote, e os avaliadores não saberão se qualquer coisa faltar.

Informação Faltante

Sem um programa de C&A, os pacotes diferentes da certificação incluirão tipos diferentes de informação. Para o exemplo, sem um programa prescrito e estandardizado de C&A, um pacote da certificação pôde ter uma planta de contingência da tecnologia de informação (ITCP) e outro não pôde. Um pacote da certificação pôde incluir um mapa da topologia da rede, e outro não pôde. Quando vem hora de avaliar o pacote inteiro da certificação, é duro falhar um pacote para não ter uma planta de contingência da tecnologia de informação se nenhum política ou processo organizational requererem sempre um existir no primeiro lugar. É muito duro manter os proprietários do sistema de informação e o ISSOs accountable para unir os pacotes adequados da certificação se sua agência não definir ainda o que constitui exatamente um pacote adequado da certificação.

Falta da organização

Embora especificar a informação direita para incluir em um pacote da certificação é da importância preliminar, o formato do pacote não deve ser negligenciado. Um pacote da certificação pode ser 500 páginas por muito tempo. A menos que cada for organizado a mesma maneira, será muito incómodo para que os avaliadores vadeiem através da informação e da verificação voluminous para ver se todo o material direito for incluído. Ele’s melhor para fazer coisas mais fáceis para os avaliadores. Os avaliadores que podem’t fazer as cabeças ou as caudas fora da informação se apresentaram lhes, e as partes’da chave do achado da lata t de informação, estão indo ser relutantes recomendar que um pacote esteja acreditado.

Inconsistências no processo da avaliação

Você quer cada pacote da certificação ser avaliado a mesma maneira. Uma agência pode ter muitos evaluators.Without diferentes toda a sorte do padrão para o índice do pacote da certificação ou formato, você está deixando a avaliação inteira até a opinião subjetiva de um (ou um grupo pequeno) dos povos. Os avaliadores diferentes podem pôr a ênfase em áreas diferentes. Se cada pacote tiver o mesmo formato organizational, melhora as possibilidades que os avaliadores diferentes avaliarão os pacotes na mesma maneira porque procurarão, e esperam o mesmo tipo de informação.

Arquitetura e configuração desconhecidas da segurança

Sem um pacote da certificação, pode ser o caso que a arquitetura da segurança e a configuração de seu infrastructure da informação não são sabidas. Trabalhando com o processo de C&A, você tornar-se-á ciente de se este é o caso ou não. Se a arquitetura da segurança for documentada bem, C&A serve porque uma oportunidade de se certificar os diagramas da arquitetura e os mapas da rede está correta. Se’documentado nao bom de s, ou não documentado em tudo, este for algo que você’o ll quer pesquisar e diagram.The mesmos prende verdadeiro para a configuração da segurança. Todo o software requer configurações. Quando sistemas se operando e aplicações são instalados, mesmo se são instalados firmemente, os ajustes da segurança são documentados? Se os ajustes da segurança não forem documentados, são bàsicamente desconhecidos. Os mesmo administradores de sistemas peritos e seasoned não podem geralmente recordar que cada coisa que pequena fizeram a um sistema quando configurarar a porque hoje’os sistemas se operando e as aplicações de s são assim que a característica rich.That é porque a documentação da arquitetura e da configuração da segurança é processo de critical.The C&A está projetada encontrar os desconhecidos dos ajustes da arquitetura e da configuração da segurança e resolver então os desconhecidos criando a documentação necessária ao longo da maneira.

Riscos Desconhecidos

As leis federais de lado, a razão preliminar para compreender a postura da segurança de seus sistemas de informação devem identificar riscos, para compreendê-los, e para fazer exame de mitigating actions.With C&A undefined à esquerda, você está deixando os riscos que você quer sua agência procurar aberto ao speculation. Talvez a agência ISSOs identificará todos os riscos chaves, mas talvez ganharam’t. Um ISSO pode pôr a ênfase no planeamento da recuperação do disastre, e outro pôde pôr a ênfase em riscos do sistema. É improvável que todos porã0 a mesma ênfase em todos os aspectos da segurança da informação. Quando vem a identificar riscos, há uns artigos numerosos a fazer exame em consideration.There está uns riscos do negócio, riscos do sistema, riscos treinando, riscos da política, riscos do inventário, e assim que o programa well-defined de on.A C&A assegura-se de que todos os tipos relevantes de riscos estejam feitos exame na consideração.

Leis e cartões do relatório

Você pode ser surpreendido encontrar para fora que a certificação “e” o accreditation “das palavras” não estão usados no ato federal da segurança da informação de 2002. Entretanto, a lei indica muito claramente a exigência de um programa da segurança da informação, e nomeia também os elementos requeridos desse programa. Muitos dos elementos requeridos do programa exijido da segurança da informação são aqueles que evoluíram para ser sabidas agora como “a certificação e o accreditation.” Mesmo se o programa agência-largo foi chamado algo palavra—outra “o programa do validation da segurança”—todo o os mesmos elementos do programa seriam required.You não devem começar pendurados acima no fato que você don’t vê que a certificação “ou” o accreditation “dos termos” nos elementos nomeados law.The escritos do programa estão requeridos pela lei não importa como você os intitula. Sem estes elementos, e sem um programa da segurança da informação, as agências estão quebrando a lei. Que’s mais, as agências que don’t tem os elementos direitos incluídos em seu programa da segurança da informação obterão classes federais pobres do cartão do relatório da segurança do computador.