Cadrele de control al securității - organizațiile tipic

Organizațiile adoptă adesea un cadru de control al securității pentru a ajuta la eforturile lor legale și de reglementare. Câteva exemple de cadre de securitate relevante includ următoarele:

• COBIT. Dezvoltat de Asociația de Informații și Audit (ISACA) și de Institutul de Guvernanță IT (ITGI), COBIT este alcătuit din mai multe componente, inclusiv
  • Framework. Organizează obiectivele de guvernanță IT și cele mai bune practici.
  • Descrieri procese. Oferă un model de referință și un limbaj comun.
  • Obiectivele de control. Documentează cerințele de management la nivel înalt pentru controlul proceselor IT individuale.
  • Linii directoare de management. Instrumente pentru atribuirea responsabilității, măsurarea performanțelor și ilustrarea relațiilor dintre procese.
  • Modele de maturitate. Evaluați maturitatea / capacitatea organizațională și deficiențele de adrese.

Cadrul COBIT este popular în organizațiile care fac obiectul Legii Sarbanes-Oxley.

• NIST (Institutul Național pentru Standarde și Tehnologie) Publicație Specială 800-53: Securitatea și controlul confidențialității pentru sistemele și organizațiile informaționale federale. Cunoscută ca NIST SP800-53, acesta este un cadru de control foarte popular și cuprinzător cerut de toate agențiile guvernamentale din S.U.A. De asemenea, este utilizat pe scară largă în industria privată.
• COSO (Comitetul organizațiilor sponsoriale ale Comisiei de treadway). Dezvoltat de Institutul Contabililor de Management (IMA), Asociația Americană de Contabilitate (AAA), Institutul American al Contabililor Publici Autorizați (AICPA), Institutul de Auditori Interni (IIA) și Financial Executives International (FEI) constă din cinci componente:
  • Mediul de control. Oferă fundația pentru toate celelalte componente de control intern.
  • Evaluarea riscului. stabilește obiectivele prin identificarea și analizarea riscurilor relevante și stabilește dacă orice va împiedica organizația să-și atingă obiectivele.
  • Activități de control. Politici și proceduri create pentru a asigura respectarea directivelor de management. Diverse activități de control sunt discutate în celelalte capitole ale acestei cărți.
  • Informații și comunicare. Asigură sisteme de informare adecvate și proceduri eficiente de comunicare în întreaga organizație.
  • Monitorizare. Activități care evaluează performanța în timp și identifică deficiențe și acțiuni corective.
• ISO / IEC 27002 (Organizația Internațională pentru Standardizare / Comisia Electrotehnică Internațională). Formal intitulat "Tehnologia informației - Tehnici de securitate - Cod de practică pentru managementul securității informațiilor", ISO / IEC 27002 documentează cele mai bune practici de securitate în 14 domenii, după cum urmează:
  • Securitatea resurselor umane
  • Managementul activelor
  • Controlul accesului și gestionarea accesului utilizatorilor
  • Tehnologia criptografică
  • Securitatea fizică a site-urilor și echipamentelor organizației
  • > Achiziționarea de sisteme, dezvoltarea și susținerea sistemelor informatice
  • Securitatea pentru furnizori și terți
  • Managementul incidentelor de securitate a informațiilor
  • Aspectele de securitate a informațiilor în managementul continuității afacerii
  • Conformitate
  • ITIL (Biblioteca de infrastructură a tehnologiei informației).
  • Un set de bune practici pentru gestionarea serviciilor IT compuse din cinci volume, după cum urmează:
  • Strategia de servicii.
  Adresează managementul strategiei serviciilor IT, managementul portofoliului de servicii, managementul financiar al serviciilor IT, managementul cererii și managementul relațiilor de afaceri.
• Design Service. Adreseaza coordonarea designului, managementul catalogului de servicii, managementul nivelului de servicii, managementul disponibilitatii, managementul capacitatii, managementul continuitatii serviciilor IT, sistemul de management al securitatii informatiei si managementul furnizorilor.
  • Tranziția serviciului. Adresează planificarea și suportul de tranziție, gestionarea schimbărilor, managementul activelor și configurațiilor de servicii, managementul lansării și implementării, validarea și testarea serviciilor, evaluarea modificărilor și gestionarea cunoștințelor.
  • Funcționarea serviciului. Adresează gestionarea evenimentelor, gestionarea incidentelor, îndeplinirea solicitărilor de servicii, gestionarea problemelor și gestionarea accesului.
  • Îmbunătățirea continuă a serviciilor. definește un proces în șapte etape pentru inițiativele de îmbunătățire, inclusiv identificarea strategiei, definirea măsurătorilor, colectarea datelor, prelucrarea datelor, analizarea informațiilor și a datelor, prezentarea și utilizarea informațiilor și implementarea îmbunătățirii.