认识到有必要进行认证
所有一般支持系统和大型应用程序所要求的范本,以及管理和预算办公室( omb ) ,以得到充分认证,并经认可后才可以投入生产。 生产系统和主要应用程序都必须reaccredited每3年一次。 展望未来,我们将参照系统,需要老(例如,一般支持系统和主要应用程序)仅仅作为信息系统。 主要目标之一的c & a是迫使授权官方理解这种风险,一个信息系统构成的代理业务。 只有了解了风险可以授权官方确保信息系统已得到充分重视,以减轻不可接受的风险。 风险评价和记录结果,是应纳入整个系统或应用系统的开发周期。 技术研究院确定了系统开发周期组成5个阶段: 1 。 系统启动 2 。 发展和收购 3 。 执行 4 。 操作和维修 5 。 处置 fisma任务,新的系统和应用需要得到充分认证-将该及认可后,才能投入生产中的最佳时机,以开始老新的系统和应用系统的同时,他们仍处于开发阶段。 这是最容易的,以设计安全性成为一个体系尚未建成。 当新的信息系统正在提出并设计了,作为发展计划的一部分应当包括讨论" ,我们究竟需要什么措施,以确保这一信息系统,可认证,并经认可的" ?后一种新的应用是建立在和准备实施的是不会有时间出来,如果将经受全面的认证审查。 遗留系统已在其业务相较难认证,与甄审,因为这是完全有可能的,他们投入到生产中很少或几乎没有安全的考虑之列。 在制定验证方案,为遗留系统,它可能会发现足够的安全管制措施没有落到实处。 如果它变得明确表示,有足够的安全管制,尚未到位时, c &项目领导人可能决定暂时搁置的发展验证软件包,而足够的安全管制措施的制定和落实。 它是没有多大意义的消费,资源,以发展一套认证的一揽子建议,一个信息系统没有得到认可。 不过,来了解一个信息体系尚未准备妥当的认可,正是原因之一老存在-它是一个过程,使授权官员发现安全真理约其基础设施,使知情的决定,可以作出。 这是一篇文章说,由hemant baidwan
|
|||
|