Che cosa sono la C livelli

Ci sono quattro livelli differenti per cui i sistemi d'informazione possono essere certificati e livelli di accredited.The quattro sono conosciuti semplicemente come Livello 1, 2 Livelli, Livello 3, o il proprietario del sistema d'informazione del livello 4.The è supposto di decidere a che livello per certificare il sistema d'informazione ed allora da verificarsi compri a quel livello dal official.The d'autorizzazione ISSO e squadra di prearation di C&A dovrebbe aiutare il proprietario del sistema d'informazione nella determinazione del livello adeguato a cui certificare ed accreditare il sistema d'informazione.

Il Livello 1 è per i sistemi d'informazione che non sono sensibili ed ha pochi requisiti di sicurezza.
Il Livello 2 è per i sistemi d'informazione che sono in qualche modo sensibili ed ha alcune esigenze di riservatezza, di integrità, o di disponibilità.
Il Livello 3 è per i sistemi con le informazioni sensibili che hanno esigenze di riservatezza significative, di integrità e di disponibilità.
Il Livello 4 è per i sistemi d'informazione estremamente sensibili che hanno gli più alti requisiti di riservatezza, di integrità e di disponibilità.

La maggior parte dei sistemi d'informazione entreranno nella categoria di Livelli 2 o 3. Decidendo a quale livello certificare ed accreditare i vostri sistemi d'informazione—2 o 3—possono thoughtprovoking piuttosto.

Livello 1

Un Livello 1 C&A richiede una revisione minima di sicurezza. Un pacchetto di certificazione del Livello 1 richiede soltanto un programma di sicurezza, un inventario del bene e completato

Valutazione di se stesso Di Sicurezza. Additionaly, le politiche di sicurezza deve essere definito chiaramente. Una valutazione di se stesso del campione può essere trovata nell'appendice D. Alcune agenzie possono avere requisiti differenti di un Livello 1 e dovreste naturalmente sempre seguire la guida di riferimento attuale dell'agenzia.

I sistemi d'informazione che possono richiedere tipicamente un Livello 1 C&A sono sistemi quello:

■ Pubblichi le informazioni del grande pubblico
■ Trasporti il courseware ed i programmi di formazione
■ Pubblichi le informazioni sulle informazioni di prodotto
■ Pubblichi le informazioni sulle politiche del posto di lavoro
■ Pubblichi le forme, i programmi, o le tabelle che sono nonsensitive

Livello 2

Un Livello 2 C&A richiede una revisione e un'analisi di base della sicurezza del sistema d'informazione. Un Livello 2 C&A richiede tutto incluso in un Livello 1, più un insieme completo dei documenti di C&A e una prova di sicurezza & una valutazione (ST&E), (ma non i risultati della prova). Le politiche di sicurezza devono essere definite ed effettuate chiaramente. Se un'agenzia richiede qualche cosa di differente che che cosa suggerisco qui, dovreste rinviare alle raccomandazioni dell'agenzia.

I sistemi d'informazione che possono richiedere tipicamente un Livello 2 C&A sono sistemi d'informazione quello:

■ Sono usati per i contratti, le proposte e le azioni giudiziarie
■ Sono usati per le applicazioni del bilancio del capitale
■ Applicazioni dell'ufficio di serv
■ Funzioni le applicazioni dell'amministrazione dei benefici
■ Controlli le transazioni dell'amministrazione della catena di rifornimento

Livello 3

Un Livello 3 C&A richiede una revisione e un'analisi dettagliate della sicurezza del sistema d'informazione. Un Livello 3 C&A richiede tutto che sia richiesto in un Livello 1 e 2 C&A, più un'esplorazione di vulnerabilità della rete, così come gli esami che provano quello sono stati le politiche correttamente effettuate di sicurezza. Alcune agenzie possono avere requisiti differenti di un Livello 3 e dovreste usare la guida di riferimento dell'agenzia e seguire sempre le raccomandazioni in loro manuale.
I sistemi d'informazione che possono richiedere tipicamente un Livello 3 C&A sono sistemi d'informazione quello:

■ Controlli le informazioni o la sicurezza fisica
■ Controlli i funzionamenti delle operazioni finanziarie
■ Funzioni le applicazioni dell'amministrazione del libro paga
■ Trasmetta le informazioni di intelligenza
■ Comunichi le informazioni sulle sostanze pericolose

Livello 4

Un Livello 4 C&A richiede una vaste revisione ed analisi della sicurezza del sistema d'informazione. Tutti gli articoli richiesti per i Livelli 1, 2 e 3 sono richiesti per un Livello 4, più una prova di penetrazione e la conferma che tutte le prove di sicurezza sono state passate. Alcune agenzie possono avere requisiti differenti dei Livelli 4 e giusto come con i Livelli 1, 2, o 3, dovreste rinviare sempre al consiglio dell'agenzia.

I sistemi d'informazione che possono richiedere tipicamente un Livello 4 C&A sono sistemi d'informazione quello:

■ Funzioni e controlli le piante di energia nucleare
■ Prenda le decisioni sopra dove cadere una bomba
■ Controlli un paziente durante la chirurgia
■ Faccia funzionare e controlli una grande diga
■ Controlli e funzioni le facilità dei mezzi di trasporto di massa
■ Controlli la qualità dell'acqua e la sicurezza di acqua potabile pubblica
■ Controlli il reparto segreto superiore dei progetti della difesa
■ Impedisca gli attacchi del terrorista
■ Realizzi le grandi transazioni monetarie

La determinazione del livello del pacchetto di certificazione sulla parte anteriore è una delle parti di C&A.There spesso-trascurate è organizzazioni numerose che indossano’la t effettuano questa operazione fino a sviluppare l'intero pacchetto di certificazione, che è il senso errato assoluto andare circa questo. Uno dei motivi per la determinazione del livello sulla parte anteriore è perché il livello determina che tipi di fabbisogni informativi essere incluso nel pacchetto di certificazione di certificazione Package.The è la prova che i rischi di sicurezza sono stati capiti ed il livello elevato attenuato di properly.The della certificazione che si cerca, più prova è richiesto. Per esempio, l'esame di vulnerabilità della rete è richiesto per la certificazione del Livello 3, ma non per il Livello 2. Se state cercando la certificazione Livello 3, dovete completare un'esplorazione di vulnerabilità della rete e richiamare risultare rischia identificato ed include queste informazioni come componente del pacchetto di certificazione.

ciò è un articolo aggiunto da Waine G. Fluen