Problemi di non avere un programma accreditamento/di certificazione

Share

|

Se la vostra agenzia non ha un programma standardizzato di C&A, potete invitare il processo di C&A per essere estremamente confusionario e complicato eccessivamente. I preparatori di C&A non conosceranno che cosa dovrebbe essere incluso in ogni pacchetto e gli esperti non sapranno se qualche cosa manca.

Le Informazioni Mancanti

Senza un programma di C&A, i pacchetti differenti di certificazione includeranno i tipi differenti di informazioni. Per esempio, senza un programma prescritto e standardizzato di C&A, un pacchetto di certificazione potrebbe avere un piano di emergenza di tecnologia dell'informazione (ITCP) ed altri non potrebbero. Un pacchetto di certificazione potrebbe includere un programma di topologia della rete ed altri non potrebbero. Quando viene tempo di valutare l'intero pacchetto di certificazione, è duro venire a mancare un pacchetto per non avere un piano di emergenza di tecnologia dell'informazione se nessuna politica o processo organizzativo richiedesse mai uno esistere in primo luogo. È molto duro giudicare i proprietari del sistema d'informazione ed il ISSOs responsabili per unire i pacchetti sufficienti di certificazione se la vostra agenzia ancora non ha definito che cosa costituisce esattamente un pacchetto sufficiente di certificazione.

Mancanza di organizzazione

Pur specificando le giuste informazioni per includere in un pacchetto di certificazione è di importanza primaria, la disposizione del pacchetto non dovrebbe essere trascurata. Un pacchetto di certificazione può essere 500 pagine lungamente. A meno che ogni sia organizzato lo stesso senso, sarà molto ingombrante affinchè gli esperti guadi attraverso le informazioni ed il controllo voluminosi per vedere se tutto il giusto materiale è stato incluso. Esso’s il più bene per rendere le cose più facili per gli esperti. Gli esperti che possono’t fare le teste o le code dalle informazioni si sono presentate loro e’di chiave del ritrovamento della latta t informazione, stanno andando essere riluttanti a suggerire che un pacchetto è accreditato.

Contraddizioni nel processo di valutazione

Desiderate ogni pacchetto di certificazione essere valutati lo stesso senso. Un'agenzia può avere molti evaluators.Without differenti tutta la specie del campione per il soddisfare del pacchetto di certificazione o disposizione, state lasciando l'intera valutazione fino all'opinione soggettiva di una (o ad un piccolo gruppo) della gente. Gli esperti differenti possono mettere l'enfasi sulle zone differenti. Se ogni pacchetto ha la stessa disposizione organizzativa, migliora le probabilità che gli esperti differenti valuteranno i pacchetti nello stesso senso perché cercheranno e prevedono lo stesso tipo di informazioni.

Architettura e configurazione sconosciute di sicurezza

Senza un pacchetto di certificazione, può essere il caso che l'architettura di sicurezza e la configurazione della vostra infrastruttura delle informazioni non è conosciuta. Funzionando con il processo di C&A, diventare coscienti di se questo è il caso oppure no. Se l'architettura di sicurezza è documentata bene, C&A serve poichè un'occasione assicurarsi gli schemi di architettura ed i programmi della rete è corretta. Se’documentata non buona di s, o non documentato, questo è qualcosa che voi’il ll desidera ricercare e diagram.The stessi sostiene per la configurazione di sicurezza. Tutto il software richiede le configurazioni. Quando sistemi operativi ed applicazioni sono installate, anche se sono installate saldamente, le regolazioni di sicurezza sono documentate? Se le regolazioni di sicurezza non sono documentate, sono basicamente sconosciute. I neppure coordinatori di sistemi esperti e seasoned non possono ricordarsi di solitamente che ogni cosa piccola hanno fatto ad un sistema quando configurare esso perché oggi’i sistemi operativi e le applicazioni di s sono in modo da la caratteristica rich.That è perchè la documentazione di architettura e di configurazione di sicurezza è processo di critical.The C&A è destinata a trovare gli sconosciuti delle regolazioni di architettura e di configurazione di sicurezza ed allora a risolvere gli sconosciuti generando la documentazione necessaria lungo il senso.

Rischi Sconosciuti

Le leggi federali da parte, il motivo principale per capire la posizione di sicurezza dei vostri sistemi d'informazione deve identificare i rischi, capirli e prendere attenuarsi actions.With C&A a sinistra undefined, state lasciando i rischi che desiderate la vostra agenzia cercare aperto alla speculazione. Forse l'agenzia ISSOs identificherà tutti i rischi chiave, ma forse hanno vinto’la t. Un ISSO può mettere l'enfasi sulla pianificazione di recupero di disastro ed un altro potrebbero mettere l'enfasi sui rischi del sistema. È improbabile che tutti mettano la stessa enfasi su tutte le funzioni di sicurezza delle informazioni. Quando viene ad identificare i rischi, ci sono articoli numerosi da prendere in consideration.There sono rischi di affari, i rischi del sistema, i rischi d'addestramento, i rischi di politica, rischi di inventario ed in modo da il programma ben definito di on.A C&A si accerta che tutti i tipi relativi di rischi siano presi in considerazione.

Leggi e schede di rapporto

Potete essere sorpresi scoprire che la certificazione “e” l'accreditamento “di parole” non sono usati nella Legge federale di sicurezza delle informazioni di 2002. Tuttavia, la legge dichiara molto chiaro il requisito di un programma di sicurezza delle informazioni ed inoltre chiama gli elementi richiesti di quel programma. Molti degli elementi richiesti del programma affidato di sicurezza delle informazioni sono quelli che si sono evoluti ora per essere conosciuti come “la certificazione ed accreditamento.” Anche se il programma agenzia-largo fosse denominato qualcos'altro—dica “il programma di convalida di sicurezza”—tutti gli stessi elementi del programma sarebbero required.You non dovrebbe ottenere appeso in su sul fatto che indossate’la t vedete che la certificazione “o” l'accreditamento “di termini” negli elementi chiamati law.The scritti del programma è richiesto da legge non importa come li autorizzate. Senza questi elementi e senza un programma di sicurezza delle informazioni, le agenzie che stanno infrangendo la legge. Che’s più, agenzie che indossano’la t ha i giusti elementi inclusi nel loro programma di sicurezza delle informazioni otterranno i poveri gradi federali della scheda rapporto di sicurezza del calcolatore.