步进通过认证过程
有4个高层次分阶段向老process.to从一个阶段到另一个阶段,有很多东西发生在前进的道路上。 让我帮助你了解如何从一个阶段到明年。 启动阶段启动阶段通常是非正式地管理信息系统的拥有人及isso 。 虽然所有的信息系统业主应该认识到这样的事实范本需要新的信息系统,以产生积极的认可,这可能不是站在最前列,他们的minds.therefore ,这是完全有可能的去世可能会带来需要老要注意信息系统的主人。 是否需要老是由信息系统的拥有人,或种田,某种形式的承认,在这两者之间,个人进行了c &一个需要考虑的地方应该发生。 确认没有被正式的,或什至写。 一个简单的走廊里交谈,可就够了,只要双方当事人来认同它的时候得到了c &开始的一个项目。 在起始阶段,信息系统的所有者和isso应该同意对哪些资源利用为c收购准备团队。 决定需要作出的决定是否聘请外部承包商,或使用政府内部的工作人员。 自老,如果做得适当,通常是一个更大的工作,比一般人明白,我不能强调足够的价值,在利用外部顾问。 放在一起验证软件包是一个全职的工作,通常的结果将是不够的,如果政府办公室试图doubleup其现有工作人员履行老职责,结合自己现有的日常工作。 在外包编写一本证书包外面的顾问公司,这是很重要的,为isso ,以确保他或她是聘请有能力的个人与适当expertise.the isso应该问了许多问题,以一个潜在的合同公司,其工作人员才争取承办主任( cotr )结束了一项协议。 问题,可以协助一个山头,在确定专家老的能力,潜在的顾问可能是: 对于其他机构所拥有,你的表现老? 你是否有记录取得了良好的认可呢? 可你的名字老文件说,你是有经验的准备? 你可以使无数人次,网站,以满足我们的工作人员吗? 你能提供复会后,为可供顾问? 你是否有描述贵三准备服务呢? 你能提供参考资料来自其他机构? 并非所有的海关一项咨询服务都是一样的。 其中一个明显的迹象表明,承包公司并不完全了解老是,如果他们的名单只有少数几个文件类型,在其海关的服务描述。 一些公司自称理解老,但举例说,将列出其老服务包括一个自我评估和脆弱性评估(这当然只是其中一部分照片) 。你真的要聘请顾问了解整个球上的蜡,可以发扬一切所需的证明文件,为三答 它只会拖慢和复杂化的过程中,如果你租用,也就是说,一个公司发展的一部分,可交付和另一家公司开发的其他部分。 当谈到老,找到一个承包公司提供了一个一站式的购物,实在是最有效的方式去。 其中一个好办法,以找出如何,以及候选承包公司了解到老是要求他们为项目建议书与里程建成投入扶贫开发。 通过比较不同的项目建议书并排,它应该成为清楚有哪些候选承包公司提供最优质的专业知识。 最后,但并非最不重要的,然后准备验证封装,晚年应该有一定的认识,还是不提出认证方案将产生积极的认可。 如果isso知道前方有适当的安全管制有没有落到实处的地方,安全是一种不正当的配置,以及安全政策并没有得到遵守,这是为了更好地解决这些问题,才开始老process.this是否并不是指老是可选的。 我的建议是,如果你知道的弱点,需要校正,校正开始他们立即。 不要等待海关今后一个时期沿,然后再作必要的修正。 当地表示,该信息系统安全计划加以分析,在起始阶段。 虽然目前还没有在理论上是错误的这一做法,它通常的情况是,对于一个新的信息系统,一个系统的安全计划确实存在。 在制定验证方案,它是一个更可能的情况是,该系统的安全计划,将不是第一次写,或修订和更新,在认证阶段。 在recertification的一套以前一直认可,是一个旧体制的安全计划,当然会已经存在。 起始阶段的里程碑 在启动阶段,你应该问自己这些问题: 有老编制人员已经确定? 有已知的安全弱点得到解决? 有的联邦信息处理199安全分级已完成? 验证阶段验证阶段是时间内,其中认证一揽子准备。 恰恰在这个阶段,这老编制(或审查小组)收集所有的证据和文件,并制定新的文件所需的验证方案。 如果拟议收购的是一个全新的信息系统,没有事先认证方案会存在。 如果老是给老信息系统,事先认证方案应存在和可供审查。 新的c和收购须每3年一次。 认证是一个信息系统,先前已被认可的,是被称为" recertification " recertifications需要同样套房的文件新的认证包装要求。 工作时,就recertification ,事先认证的包装应全面检讨,以确保所有的风险,以前举在旧认证软件包已缓解。 在c &审评组将要返回到现场,该机构的办事处,以提供给面试信息系统的开发和管理团队。 这是至关重要的为c &审评组学习,因为很多信息系统尽可能询问了很多问题,作为necessary.the信息系统,车主就应提醒他或她的发展人员,以容纳三审评组,并为他们提供与尽可能多的资料,对设计和配置,该系统将于三答 三审查小组,可以是任何地方,从几个人,最多十几或更多依赖于复杂的信息系统预定三答 应该怎样确定有多少个人就c &一队是该项目的范围和时限的项目。 正如你增加的范围,并减少时间,需要有一个较大的三审评组增加。 最老审评组至少还需要3个月的最低组装充足认证方案。 它会不会失控的问题,但是,对于三审评组需要6个月时间准备一份认证包一个庞大而复杂的基础设施。 三一个最佳做法… … 认证阶段的里程碑 设计与建筑的文件进行审查。 漏洞被发现。 证据的风险缓解鉴定。 认证文件都写。 分析可接受风险的,以工程处完成。 评审阶段 评审阶段开始时,认证包裹已completed.the评估小组行文通过认证方案,其全部内容,并确认,如果调查结果是准确的,如果一切所需的资料。 验证这套系统可轻易超过500页。 至少有两至四个星期,应分配给评审阶段。 多数评价30支球队将已经准备检查单的标准,尤其是他们期望发现在认证软件包之前,他们实际上首先评价。 如果验证一揽子通行证鼓起与评估,提出建议,将提出一系列积极accredited.the证明其代理人的建议进行审查,并作为长期的,因为它似乎是合理的,将签署一份正式发函accreditation.the认证信会还需要签署,由isso ,信息所有者,授权官员,然后将被发送到cio.the首席信息官是要确认收到该函的签署。 三一个最佳做法… … 评审里程碑 提交的方案评估 审查和评论决议 推荐认可(或不存在) 连续监测阶段一旦信息系统已经认可的,它应当不断地进行监测。 配置管理的转变,应该一个持续的和管理良好的过程与审批机制内置日期的变化和版本更改代码,都应该加以记录。 安全管制,也应监测和所作的任何更改,他们应该加以记录。 如果防火墙政策变了,变化及其变化原因应加以记录。 如果入侵检测系统的配置改变了,他们应该得到充分的说明,并且变化原因应记录在案。 这是经常有这样的情况几乎没有足够的时间投入到连续监测阶段,因为一旦一个积极的认证已取得最issos和信息系统的业主倾向于松一口气,并似乎喜欢把整个三一个过程,他们背后。 放在一起的认证包,并获得认证是一项艰巨的任务,并做更多的,经过多方工作,是做了,是不是高,通常对任何人的议程后,与事实不符。 不过,保存文件到现时为止将使今后任何recertifications容易得多。 除非该信息系统是退役的,可实际上必须recertified在三年内完成。 该文件是一个部分的认证方案,被认为是活文件,并可以更新,在任何时间。 这是最好的,以更新的文件,尽快改变了信息系统,因为这是当新的信息是最新鲜,在每个人的心。 更新文件从未似乎是名列前茅的重要任务来完成,为此,我建议更新认证一揽子文件,以建设成为变革管理的过程。 每一次文件更新的时候,应当审查并批准通过改变控制过程,然后存档在本地及在现场的位置。 三一个最佳做法 连续监测里程碑 和解早熟禾机电嘉奖 文件更改制度 持续监测的安全控制 这是一篇文章说,由hemant baidwan
|
|||
|