问题，没有一个认证/认证计划

Share

|

如果你的机构，没有一套标准化的海关程序，你可以预期三一个过程变得极其混乱，而且也过于复杂。 老的编制者不知道什么应该包括在每一个方案，以及评估人员不会知道，如果失踪的事。

失踪信息

未经海关程序，不同的认证软件包将包括不同类型的信息。 举例来说，假如没有一个明和规范海关程序，其中一个认证软件包可能有一个信息技术应急计划（综合技术合作方案） ，以及其他可能并非如此。 一个认证方案，可能包括一个网络拓扑图，以及其他可能并非如此。 当谈到时间，以评估整个认证方案，这是难以得逞的一揽子没有一个信息技术的应变计划，如果没有政策或组织过程以往任何时候都需要一个存在的利益放在首位。 这是很难掌握信息系统的拥有者和issos负责汇集足够的认证包，如果你的机构尚未界定究竟构成足够的认证方案。

缺乏组织

虽然指明了正确的信息，包括在一个认证方案是头等重要的，该格式的软件包不应该被忽视。 验证这套系统可长达500页。 除非每一个组织以同样的方式，那将是非常繁琐，为评价者，以韦德透过厚厚的资料和检查，看看是否都有权材料已被包括在内。 它的最大努力使事情容易为评价者。 评估人，不能作主管或尾巴出来的资料，对他们来说，并不能找到关键件的信息，都将不愿意推荐一篮子得到认可。

不一致的，在评定过程

你想每个认证方案进行评估，以同样的方式。 一个机构可能有很多不同的evaluators.without任何形式的标准认证包装内容或形式，你将要离开，整个评价了以主观意见的一个（或一小群）的人。 不同的评估者可向侧重于不同的领域。 如果每包有相同的组织形式，它提高的机会，不同的评估人员将评价材料，以同样的方式，因为他们将去寻找，并期望同类型的信息。

未知的安全体系结构和配置

未经认证方案，它可能会发生这种情况：安全体系结构和配置，你的信息基础设施是不知道。 通过工作，通过三是一个过程，你会成为知道是否有这样的情况还是没有。 如果安全架构，是有案可稽的，老充当了一个机会，以确保该体系结构图和网络图是正确的。 如果它不是有案可稽的，或者没有记载的一切，这是你就会想要研究和diagram.the也同样适用于安全配置。 所有软件需要配置。 当操作系统和应用程序安装完成后，他们即使安装了安全，是安全设置的记载？ 如果安全设定并没有记载，他们基本上是未知之数。 即使是专家和经验丰富的系统管理员可以利用通常不会记得，每一小事情，他们做了一个系统时，配置它，因为今天的操作系统和应用程序是如此的特征rich.that就是为什么安全体系结构和配置文件是critical.the三一个过程旨在寻找未知的安全体系结构和配置设置，然后再解决未知数，通过建立必要的文件，在前进的道路上。

未知的风险

联邦法律外，主要理由为了解安全的架势，你的信息系统，是要找出风险，理解，并采取减轻actions.with三左未定义的，你将要离开的风险，你想你的机构，以寻找开放投机。 也许该机构issos将确定所有主要风险，但也许不能。 一火，可把重点放在灾后复原规划，另一人可能把重点放在系统的风险。 是不大可能的事，他们都将付诸表决，同时注重各方面的信息安全。 当谈到确定风险外，还有不少项目，要考虑到consideration.there属于商业风险，系统风险，培训风险，政策风险，存货风险，所以on.a清楚界定的海关程序以确保所有有关各类风险的是在考虑之列。

法律和报告卡

你可能会惊讶地发现，列，即"合格证"和"资格认证"并非是用来在联邦信息安全法于2002年 。 然而，法律很清楚，国家的要求，信息安全计划，还名字必需要素的这一计划。 所需的许多要素所规定的信息安全计划，是那些已演变到现在被称为"认证和认可"即使全机构的计划，被称为另一回事-说： "安全鉴定计划" -都一样要点该计划将required.you不要挂断了这一事实，即你没有看到条款"认证"或"认可" ，在书面定律，命名为元素的节目，均须依法无论怎样你有权。 如果没有这些因素，如果没有信息安全程序，机构都是违法。 什么更重要的是，机构不具备正确的要素包括在各自的信息安全计划会得到穷人的联邦计算机安全报告卡的等级。