如何制定一个一揽子认证

Share

|

然后你就可以开始整理验证软件包，你需要掌握尽可能多的资料，对系统或应用软件就会certifying.you必须是一个好侦探，不要失去信心，当细节似乎unclear.the更多信息，你收集清晰的细节将become.you即将付诸表决，连同一个信息技术砌图。

启动你的三项目

当您开始接受海关的一个项目，不期望每个人发挥了作用，在发展和管理的应用或系统，你的证明，开始志愿服务资讯，让大家use.you将需要采取主动地走出去，和搜集文献资料很多，因为你可以，并进行访谈，适当的工作人员。 如果你是一个顾问公司，首先你必须弄清楚谁是适当的工作人员说，你需要倾诉。 你是打算要问很多questions.the办学经理签订了你完成老是最好的人开始this.the办学经理人，可能是系统所有者， isso ，包工人员，或一个应用开发经理。

放在一起联系人名单

你必须先弄清楚他们将知识的所有安全的特殊性信息system.you时应首先确定人民involved.the办学经理人应能回答了很多你的questions.to找到适当的人了解安全的资讯系统或系统需要认证，你需要问以下的问题：

是应用开发的，在内部或购买的，由卖方？

如果申请被购自卖方是任何定制做吗？

谁没有定制？

如果申请是在发达国家内部，谁设计的呢？

有设计规格和文件？ 谁呢？

是应用托管在现场或远程站点？

如果申请主办遥，谁负责，其业务？

这些问题是"谁" ？提问。 从回答你们的问题，你应该可以开始整理联系人名单的人，有一部份的设计和实施的信息系统。 包括他们的电话号码和电子邮件地址，因为你需要他们接触频密。

一些联邦机构都相当大，而且由于经营规模，有时客观。 当你接触了不同人对你的联络人清单，你需要向他们解释你是谁，以及为什么你接触他们。 并不指望他们会知道，一个三一个项目正在进行中，或什至知道什么老的焦点。 如果你与他们联络，并说，你必须与他们会面，讨论香港的一个项目，准备告诉他们什么三的一个手段，既然是一个很好的机会，他们也未必有一个线索是什么，你所谈论的。

找出所有资料，你将需要建立一个认证方案是很想去上寻宝。 如果你是一名外聘顾问，在项目开始时，它是完全有可能的，没有人，除办学经理人会知道你为什么对现场，在该机构。 这是非常不可能的，有人又来了，你说： "我听到你是上门来放在一起验证软件包为我们的信息系统。 这里是所有的安全政策，设计文件，以及安全配置系统，你将需要的人。 "在大联邦机构，我的经验已经没有人很容易，并迅速志愿者信息系统的安全性。

持有揭开序幕会议

一旦你找到了谁是球队的核心队员（人民已经部分的设计，开发，编码，并实施信息系统） ，你应该如期揭幕小康次会议，并请他们所有人。 尽力而为，以形成良好的合作关系，与这些乡亲，因为你会变得依赖于他们的信息。 在揭开序幕会议，他们介绍了香港一队，向他们解释什么简略老是一回事。 在这第一次会议上，你应该告诉他们，你会需要更多的文件，作为你们也能对特定的信息系统，就是将参加会议。 问他们，如果他们还可以用电子邮件发送你的文件尽快予以批准;否则，他们可能花数周时间，以获得它you.you将需要的资料，对设计，开发，实施，配置，网络的拓扑结构，并测试该信息系统。您将需要检讨这一切文件，以找出正确的数据位，投入的认证方案。

获得任何现有的机构的指导方针

它的关键是找出如果该机构你的工作，为有三一本手册。 机构认为，在过去的成绩，以及对他们的联邦计算机安全报告卡，大概有一。 机构已经取得很差，他们的报告卡，可一不可。 如果一本手册存在的，你就得跟着制定一切方针写在它准备的时候，你的认证包-即使他们是穷人的指引。 如果评价小组，它的工作得当，他们将评估认证方案，它如何如下工程处三一本手册和要求。

如果一本手册存在的，你认为它的一部分是如此不对，你不应该遵循它，你必须采取这种行动与isso和封装评价小组，然后才作出决定。 当你正准备认证包并不一定是最好的时机，以争取该机构改变他们的法规和政策。 如果你认为某些部分，它是不正确之前，你到前面，并决定继续自己的方式，创造一个更"正确"的认证方案，使问题提请该isso ，并提供理由，至于为什么要将你想着手不同。 一些机构会失败，你的认证方案，如果你不按照他们的手册-即使该手册是错误的。

所有的机构都应该有一本手册和范本，以规范三是一个过程。 但是，一些机构正在准备不足比其他人，如果你们走上了海关的一个项目，并找出任何手册或模板存在的，你需要做的without.you仍然可以放在一起了坚实的认证包无手册或模板，如果你做的好，也许你会继续邀请作为今后的贡献者发展急需的手册和范本。 如果三一本手册，没有出席，然后看看是否母公司机构之一。 例如一个局或代理处未必有自己的手册，但家长可以到。 如果没有三一本手册，在所有存在的，计算出该方法与贵机构的，应该用（ nist的ditscap ， niacap ，陈述6 / 3 ） ，并期待该作指导。

分析你的研究

一旦你收到的各种文件，从信息系统的开发者与管理者，你需要分析这些文件，以了解他们是否包括种信息，你需要把它包括在认证方案。 这是有可能的很多信息，你需要验证程序包不会被包括在各种文件中，你得到的。 如果信息系统（ s ）表示，现正为老早先已被认可，那么，事先认证方案应exist.you应该使之成为一个点，以检讨事先认证方案，以及使用任何资料可以认为仍相关。 若有的话，似乎不正确在事先认证的软件包，你应该改正的，即使不是引为defi - ciencies在事前评审。

放在一起一份问题清单对于这样的东西，你还需要寻找出从信息系统的开发者与管理者，并安排会议，与乡亲是你认为最能回答你的问题。 不断满足与团队和接触他们就电话和电子邮箱，直到所有你的问题，现答复。 它往往需要几个回合的调查之前，你接受所有适当的信息。

拟订文件

虽然也有可能是没有法规的，你必须放在一起验证一揽子文件，在任何特定顺序，我忽然想到，该命令中，你把文件一起是非常重要的。 例如，如果你把硬件和软件清单，前场，它会帮助你在写作说明性文字约认证的界限，必须在系统安全计划。 在某些情况下，可能会做出明智的，你要改变，以便对这些文件时，一并把你的认证方案。 这点主要采取远离的是，如果一个文件中包含的信息是依赖于事先的文件，制定文件之前先。 这将是难以知道如何速率停电的影响，该资产的上市，在营商环境影响评估 ，如果你还不知道什么资产-如果硬件和软件清单，尚未完成。

它的好是多余的

有很多文件，在认证软件包包括信息是多余的，从1号文件向next.the这种情况出现的原因是因为每一个文件，需要能够站在自己的。 一些资料说，你发现，为早期的一些文件中可以而且应该用来在随后documents.you想要给人的印象是，所有的文件是一致的，相互借鉴，相互支持， other.though在许多形式的写作是多余的是不可取的，在制定认证软件包，它是必要的。 事情之一，评价者寻找不一致的各种认证一揽子文件。 任何不一致的，通常提出一个国旗，并呼吁为更密切的检查。

不同的机构有不同的要求

并非所有机构需要确切的文件，同时为三答 范本允许灵活性，并有一个机构可以要求某些文件，其他机构没有require.though可以说，这是不公平的，范本的目的是让每一个机构，以确定自己的需要，内部边界的规定。

包括多种应用和系统在一个封装

你可以包括多种应用和信息系统的一个认证package.to予以肯定的是，这是没有意义的，在所有创造一个认证方案，为每个系统存在于你的机构。 你应该确定所认可的边界你的三一揽子广泛，你可能可以。 确定评审界限有时是trickiest部分放在一起认证package.you需要了解那里评审启动和停止。 一般来说，你应该选择一个界限的决心，这是大和合乎逻辑的。 例如，如果你是评审普遍支持系统，你可能想确定你的界限，由网络域名。 如果你是评审的主要应用，你将需要包括各件的基础设施的应用触及。

通常应用基础结构是由一个不同的组织比一般背后的支持系统。 操作系统和网络通常有不同的信息系统拥有比其申请。 老约持有信息系统业主负责，因此，国界，需要所在内的司法管辖权，其中信息系统拥有控制。 如果你是认证申请，这是取决于普遍支持系统的应用得到安装在顶部，那么这应该加以明确说明，在认证package.an背后的普遍支持系统通常有不同的认证包，比应用软件安装在它之上。 当你的认证方案和安全的，你的系统在某种程度上是依赖于其他系统，并需要以具体stated.you可以参考其他认证软件包和其他系统不属于你的认可国界，在你的文件。 这将是完全可行的，以插入一份声明中，如：

主要应用在描述了此认证方案，是依赖于底层的普遍支持系统此前已派驻在第4级。

你应该名单正式认证软件包名字的任何其它软件包您参考。 如果您不知道软件包的名字，试图找出它的运作情况。 它的，甚至更好的以索取它，如果你能。 在某些情况下，可能会违反安全政策的机构分享这些资料之间的一个信息所有者到另一个。 然而，在最低限度，外界信息所有者应能与大家分享，正式文件的名称和出版日期的相关认证方案。

验证你的信息

一旦你已完成了一份文件，然后提交给isso ，发送出第一个信息系统的开发者与管理者是最熟悉的信息系统，你正在寻求认可。 要求他们作出检讨，并告知你的任何事实错误。 网络图也应加以审查的准确性。 如果事情是没有道理的，很可能是要么没有充分证据或平原错误的。 认证与认可是一个时间，确保一切都正确无误。

在审查设计文件说，你收到的，不只是假设中所载的资料，他们是如何应用或信息系统的发展其实。 外观设计出差错和管理的变化，他们心中对要求到中途的一个项目。 只因为一个信息系统本来是要转出的一个方法，这并不意味着它没有出不同way.you需要采取一切你阅读了一粒盐，并询问事情不作常识。

保留你的道德

在大多数机构，所有信息系统的主人想要认证审查小组做的，就是让信息系统certified.they并不一定想知道，你将会如何去这样做，只要你做到这一点。 即使你应该尽一切可能使这种情况发生，一切手段不妥协，你的道德。 三一个最佳做法… …

坚守你的道德

绝不妥协，你的道德。 在任何情况下，如果你发明的安全管制，不存在，或文件的风险已经缓和，如果他们没有这样做。 如果资料拥有人或种田压力，你的文件项目，显然是不正确的，你应该避免这样做，并报告问题，你的管理。 如果在这个过程中准备认证文件，你会发现一些安全控制措施应已付诸实行，并没有报告说，到晚年，并建议他们尽快付诸实施。 只要他们是前实施的认证方案是提交了，你的文件将不会不正确。 如果你觉得有，是绝对没有出路的信息系统将获得一种积极的评审，讨论这与火。 这是不是你的工作，作为一个认证文件的编写，以解决安全问题，应该已经到位以前。 该信息系统所有者和isso可能都知道，安全管制是法律所规定的，需要加以到位。 如果他们是负责任的个人与以德治国的自己，他们不会期待你们解决机构的安全问题，你有没有控制权。

多数机构间信息系统，可用于有可能获得第一级的认证，以妥为记录的认证方案。 但是，如果安全控制的信息系统看来是如此不好实施，以连手令第1级认证，你要适应，与信息系统的拥有人及isso ，并提醒他们这一点。 一定要包括理由，以你的感觉是如此可怕的错误。 如果第1级不能理所当然地获得了，真的有两个选择：

停止三一个过程，并制订必要的安全管制措施

继续与海关的一个过程，记录准确，现有的安全信息，并希望评价者将给予该企业老板是一个临时权力机构的运作 。

临时权力机构的运作（ iato ）基本上是一样的安慰认可，并在多数情况下iatos届满后6个月。 一个围绕意味着你已经确信评价者认为，信息业主至少提出了一个很好的努力，试图以实施适当的安全管制。 出于这个原因，证明其代理人给您6个月来遵守。 一个iato通常将包括一个清单，安全控制，将部分须在当iato届满。 那个时候，如果要求的舞台已经得到满足时，系统通常会得到一个权力运作 （澳大利亚税务局） ，但如果没有，该系统可关闭。 未经认证在手，高或机构oig可以进来和关闭你的系统。 不过，虽然高或oig可要求系统必须关闭，出于实际目的，在现实生活中这种情况很少发生。 肯定是一个iato总比不认可，在所有。