역할 및 책임에 creditation 및 인, 캘리포니아


  Share  
|


c & a 관련이 많이 다른 사람들은 모두 서로 다른 작업에 함께 참여합니다. 개발 지의 개발자들에 c &하는 프로그램,의 개발자들에 준비 인증 패키지, 책임의 개발자들이 인증 패키지, 경찰청 감사 사람을 평가 인증 패키지를 이전에 인증, 그리고 연방 사찰단에게 감사 대행사 을하는지 그들은 자기 c & a가 오른쪽 방식입니다.

정보 실장

경찰청 정보 실장 (cio)이가 장 확실한 사람은 성공적인 정보 보안 프로그램에 대한 책임과 c &하는 프로그램입니다. 그것은 cio의 의무가 있는지 확인하는 정보 보안 프로그램을 포함하는 c &하는 프로그램, 존재하고이 구현됩니다. 그러나, 대부분의 기관 cios하지 않는 재생하는 손 -이 역할은 이러한 프로그램을 개발하고있습니다. 대개의 발전은 이러한 프로그램을 지정할 cio됩니다 수석 대행사 정보 보안 담당관입니다. 그러나, delegating가 프로그램 개발을하지 않는 의미는 cio를 이해하는 과정이 필요하지 않습니다. cio하지 않는 경우의 모든 요소의 이해는 성공적인 c &하는 프로그램이 거의 기회가 cio를 개최할 수있게된다 수석 기관 정보 보안 담당관 책임을 개발하는 전체 프로그램입니다. 명세서의 이해없이 무엇을하는 프로그램이 포함되어야을 cio 알 수없습니다 수석 기관 정보 보안 담당관이 남아 있으면 아무것도 아웃.

한 조각의 c & a가 될 수없습니다 간과은 필요성을 cio을 개발하는 예산에 대한 c & 대답 c & a가 매우 시간이 심화, 그리고 일반적인 c & a 걸린다는 평균 6 개월이 이렇게 철저한 직업, 북소리와 함께이 필요한 모든 information.the cio 작품과 함께 공식을 보장하는 권한을 부여하는 예산이 부족하여 직원의 리소스를 함께 인증 프로그램을 넣을 필요가있습니다. 만약 cios하지 않는 예산은 c & a, c & a 않을 수있습니다 얻을 done.the cio 수있게 c & a를 취할 장소를 완전히 이해의 연방 예산 과정과 문서에서 출판물을 넣어 밖으로 백악관 알려져 순환 아니요 - 11 7 부 계획, 예산, 수집, 및 관리의 자본 자산입니다. 이 책자는 현재 페이지에서 확인할 수있습니다 www.whitehouse.gov/omb/circulars/a11/2002/part7.pdf. - 11 7 부 참조 기타 예산 지침을 해당 cio도 익숙해지을 포함 한 알려져 omb 별첨 300. omb 별첨 300은 현재 페이지에서 확인할 수있습니다 www.cio.gov/archive/s300_05_ draft_0430.pdf.

그것은 궁극적으로가 cio가 능성이 높다는 책임을 책임진다 경우에 대행사 접수가 난한 학년에 연간 연방 컴퓨터 보안 리포트 카드입니다. 하나의 책임을 cio는 신경의 연례 연방 컴퓨터 보안 리포트 카드 학년입니다. 대행사 학년을 수신하지 못한 경우, 다음을 명확하게있다 c &하는 프로그램 중 하나가 잘못 사용하여 자체, 또는하는 방법은 프로그램이 구현됩니다. 만약 대행사를 수신하는 최고 점수의 연간 연방 컴퓨터 보안 보고서 카드, 그 다음으로까지 c & a 이동,이 과정이되고 근무가 오른쪽 방식입니다. 은 연방 컴퓨터 보안 보고서 카드를 더 많이하고 더 많은 공공 주목을 매년,가 난한 점수에있는 리포트 카드가 될 수있다 커리어 - 제한 경험에 대한 어떠한 기관 cio.

허 공식

허용 관계자는 한 고위 관리를 공식 이내에 대한 포괄적인 용어의 작업을하는 대행사에게 권한을 부여하는 정보 시스템을 선언하는 것이이 허용과 관련된 위험이있습니다. 모든 사람이 보류되는 것은 어려울 제목은 "허 공식,"그래서 나는하지 punctuating 여기에 함께 자본 letters.there 수있습니다 내에서 여러 개의 권한을 부여 관계자 각 기관, 모든 책임을 자신의 지정 구역입니다. 대부분의 대리점을 허용 공식이라고 지정된 인증 기관 (보).

가 재정 책임에 대한 권한을 부여하도록하는 공식에는 대부분 일정 금액의 리소스는 별도로 설정에 대한 감독 c & 하나의 과정입니다. 일반적으로 광고 대행사 cio의 리포트를 허용 공식입니다. 그러나 대형 대리점, 여기서 일부 지국 cios 보고서를 대행 cio을 할 수있는이 사건 cio은 허용 공식입니다. 또 어떤 경우는 허 청장이나 길잡이 커미셔너 공식 될 수있습니다. 경우에 허용 공식과 cio는 두 개의 서로 다른 사람들이, 그들 함께 작동하는지 확인하기 위해해야하는 충분한 예산에 대한 별도 설정되었습니다 c & 대답 가 허용 공식해야한다, 국립 연구소의 기준에 따르면, 특별 출판물 800에서 37 사이 (5 월 2004 년), 수있는 직원을 미국 정부와 계약자 또는 컨설턴트가 될 수없습니다. 그러나 허 공식있습니다 담당자를 실시하여 다양한 작업과 관련하여 c & a, 지정된 담당자가 계약자 또는 컨설턴트가 될 수있다. 그러나, 최종 보안 인증 결정과 그 동행 인가 결정 편지를 소유하고 있어야합니다 서명한 미국 정부 직원에 해당하는 권한을 부여 공식입니다.

수석 기관 정보 보안 담당관

수석 기관 정보 보안 담당관 (saiso)이있는 사람이있는 cio 보류가 책임진다을 관리의 모든 기관의 정보 보안을 initiatives.the saiso는 말 수석 정보 보안 담당관의 민간 산업입니다. 있을 것으로 판단 cios 5월이 역할을 수행한다,이 경우에는 별도의 개별 지주 이러한 책임되지 않을 수있습니다.

가 saiso와 함께 작동합니다 대행사 허 공무원을 보장하는 이들은이 협정에 따라 보안 요구 사항의 정보 시스템에 들어있는 문서의 핵심은 물론 같은 인증 패키지의 위험 평과 보안 계획입니다. 이 작업을 함께, saiso과 허 공무원을 반드시 고려되어야 사명과 기업의 요구 사항을 대행합니다.

가 saiso 제공 경영 관리를 인증 에이전트와 함께 작동합니다 그에게을 보장하는 c & 하나의 과정이 잘 생각 명, 그리고 비롯하여 모든 필요한 문서와 guidance.the saiso 임명 인증 에이전트 및 보류가 그들 자신의 책임을 수행하기위한 임무입니다. 그것은 매우 중요합니다에 대한 saiso하여 자신의 인증서를 선택합니다 에이전트 (들)을 신중하게하기 때문에 그들은 그들의 필요가 의존 인증 권장합니다. 가 saiso 수도를 검토를 모두 처리하는 인증 패키지 내에있는 기관; 그러나, 현실적인 문제로서, 그것은 옆에 불 이렇게합니다. 대부분의 기관, 지 멀리 너무 많은 인증 패키지에 대한 하나의 개별을 검토하고 유효성을합니다. 이 때문에 매우 이유로 saiso 고용하고 인증 에이전트 (또는 대리인)를 읽어 패키지, 수행 평, 쓰기 권고안을 생산하는 문서라고하는 보안 심사 보고서입니다. 이 보안 심사 보고서는 기본적 평 요약 및해야한다 합리화 및 지원 이 권고안에 대한 여부를 생태가 package.the 보안 심사 보고서를 했어야 모든 정보가있는 saiso 필요가 정당화 서명가 인증 문자를, 그리고 조짐이 권고안 상승세를 허용 offi - 합병으로할지 여부를한다 기호 가 인증 문자입니다.

수석 기관 개인 정보 보호 공식

각 기관이 돼이 한 고위 기관 개인 정보 보호 공식입니다. 에 대한 대규모 대행사, 한 고위 기관 개인 정보 보호 공식 될 수가 전체 시간을 직장입니다. 그러나, 예를 작은 대행사,있을 수도 책임은이 공식에 의해 수행할 수있습니다 cio, cio의 직원, 또는 saiso.the 사람이이 역할을 수 보류는 제목의 수석 개인 정보 보호 담당관 - 자신 또는 그녀하지 않는다을 사용할 필요는 전화를 선임 기관 개인 정보 보호 공식입니다. 무엇이가 장 중요한 것은 다른 사람이 지정된를 수행하는 임무의 기밀 및 개인 정보를 보호합니다.

인증 에이전트 / 평가 팀

인증 에이전트 리뷰 인증 패키지, 의사 권고로 영장에 긍정적인 인증 또는하지 여부를 조사한다.

근본적으로, 인증 대리인 역할을 auditor.they 빗를 통해 불편 인증 패키지를 찾고 누락된 정보와 정보가없는 있도록 sense.their 목표는 패키지가을 준수하고 있는지 확인하려면 대행사의 문서화 c & a 핸드북 , 프로세스, 보안 정책, 그리고 정보 시스템의 보안 요구 사항이있습니다. 에서 일부 대리점에는 이렇게 많은 패키지에 대한 평가 인증 에이전트가 이루어져있다 평 선수 팀있을 부서 이름이 같은 임무를 보장, 정보 보증, 또는 compliance.the 조직의 이름이가 장 많은 부분을 관련성이없는대로 광고 대행사가 광고 대행사와 다를 수도있다.

를 검토한 후 c & a 패키지, 인증 에이전트, 또는 평가 팀, 만든다 권고안을 내부 인증 기관 - saiso하고 공식 -에 대한 권한을 부여해야한다 있는지 여부를 한 패키지의 인증을하거나하지 않습니다. 대부분의 경우 saiso과 허 공식 수용이 권고안의 인증 에이전트, 그리고 징후가 인증 문자만을 기반의 인증 에이전트를 추천합니다. 함께 권고안을 인증 에이전트도 생산하고 보안 심사 보고서를 포함하고있습니다. 보안 심사 보고서의 권고안을 정당화해야한다.

경우에 인증 에이전트는 구단의 사람, 그들은 보통 서로 다른 작업을 나누는 성취해야 할 신속히 처리하기 위해서입니다. 예를 들어, 한 사용자가 능성 평 패키지에 대한 일반적인 지원 시스템, 다른 사람 수도 평 패키지에 대한 주요 어플 리케이션, 다른 사용자가 능성을 만들고 업데이 트 서식 파일, 그리고 다른 사람 수도있습니다 핸드북을 업데이 트합니다.

인증 에이전트는 또한 개발에 대한 책임이 내부 c &하는 과정, 그리고이 과정을 모든 문서에 대해 설명 - 핸드북과 templates.the 설명서가 인증 에이전트를 개발에 대한 평가 패키지는 검사 목록 및 스코어 카드입니다. 검사 목록 및 스코어 카드가되어야 일관성있는 서식 및 handbook.the 검사 목록 도움이 인증 에이전트의 보안 심사 보고서를 작성합니다.

이 발생할 수있는 인증 에이전트와 수석 기관 정보 보안 담당관있을 수있습니다가 같은 사람이되지 않을 수있습니다 이후 일부 소규모 기관에서 내부 자원을 갖고 두 개의 다른 직원에 할당되는 이러한 역할을합니다. 경우에 인증 에이전트와 saiso은 하나의 같은 사람, 그런 다음 인증 에이전트가하면 인증 권고안을 허용 official.the 인증 에이전트를하지 않는다 c & 여부에 대한 최종 결정을 한 패키지이어야 출입 - 그 또는 그녀 만든다 권고안의 패키지 있는지 여부에 대해서만 인증을해야한다.

객관성을 입증하기 위해, 그것은 종종이 사건이 외부 컨설턴트에 대한 평가 팀 구성되어있다. fisma, § 3454 상태 : 매년 각 기관이 수행하여야한다 무소속 평의 정보 보안 프로그램 및 관행은 해당 기관의 효과를 확인하려면이 같은 프로그램 및 관행입니다.

대행사 결정을 사용하면 자신의 지팡이를한다가 명확한 분리의 의무가있다는 것을 확인하십시오 사이의 평과 단체가 제시가 c & a 패키지에 대한 평.

사업 소유자

비즈니스 소유자는 일반 레퍼런스가 정보 시스템 소유자 및 보인다 직원의 광고 대행사가 없다는 제목과 함께 "정보 시스템 소유자,"이는 내가없는 이유는 여기에 대문자 용어입니다. 이 정보 시스템 소유자 수있는 프로그램 관리자, 응용 프로그램을 관리하는 것이 이사,이나 엔지니어링 이사 예를 들어있습니다. 즉, 그것은 사람에 대한 책임은 개발 및 운영의 정보 시스템입니다.

이 정보 시스템 소유자가 얻을 수있는 사람은 일반적 공을 롤링에 대한 새 c &하는 프로젝트입니다. 정보 시스템 소유자가 자신의 정보를 필요가 보장하는 시스템이 완벽하게 인증을 받기 전에는 투입 생산합니다. 한 번하는 정보 시스템이 생산, 그것되어야 recertified 및 인증을 매 3 년간입니다.

그것은 정보 시스템 소유자의 책임을 임명 누군 수있는 정보 시스템 보안 담당관은 시스템이 필요한 c & 대답

시스템 소유자

이 시스템 소유자가 그 사람에 대한 책임 관리를 체계가 c & a 응용 프로그램에서 실행됩니다. 하나가 될 수있습니다 고독한 시스템 관리자가 시스템 주인이나 시스템 부서입니다. 에서 대규모 분산 응용 프로그램,이 발생할 수있는 여러 시스템이 한 조각의 응용 프로그램 인프라가 서로 다른 시스템을 소유합니다. 대규모 분산 응용 프로그램이 서로 다른 시스템을 소유하는 경우, 때로는 서로 다른 시스템을 소유하실 수있습니다 서로 다른 지리적 위치 또는 다른 건물입니다. 모든 c & a 패키지, 한 패키지에 대한인지 여부의 주요 응용 프로그램, 또는 일반적인 지원 서비스 인프라에서 실행되는 응용 프로그램을 사용자의 시스템 소유자 is.the 시스템 소유자를 지정해야하는 시스템의 개발자들에 민심 시스템을 제공합니다 소유자의 지적 자산을 재고해야한다. 이 시스템 소유자의 연락처 정보를 표시해야한다 비상 계획과 사업에 미치는 영향 평입니다.

정보를 소유자가

이 정보 소유자는 사람이 소유하고 data.the 정보를 소유자가 우려의 무결성을 데이터 및 통신과 관련된 문제에 대해 소유자가 시스템의 보안을 제어의 시스템이나 데이터베이스에있는 데이터를 상주 탄력 사람, 또는 부서를 소유하고있는 데이터가 없다는 항상 시스템과 동일합니다 소유자, 비록 그것 수있다. 대부분의 경우,이 시스템 소유자가 유지 관리에 대한 데이터가 정보를 owner.the 정보 소유자는 종종 사람의 리포트를 비즈니스 소유자 및 수있는 데이터베이스 관리자, 또는 응용 프로그램 관리자를합니다. 이 발생할 수있는 어떤 단체의 정보 소유자와 사업 소유자가 동일 인물입니다.

그것이 발생할 수있는 데이터에 따라 시스템 예정된 c & a 폭포 아래의 시스템 소유자가 다른 관할하는 것보다. 그것은 또한 소유자가 능성이있는 정보와 시스템 소유자는 하나의 동일 인물입니다. 때로는 다른 사람이 관리하는 데이터베이스가있을 수있습니다 베풀하고이 지역에있는 전문 자격 증명합니다. 만약 시스템이 소유자 및 정보를 소유자가되지 않은 하나의 같은 사람, 이것에 기록해야한다 인증 패키지에있는 자산을 재고있습니다.

정보 시스템 보안 담당관

이 정보 시스템 보안 담당관 (isso)은 보안의 정보 시스템 관리에 대한 책임이 예정된 c & 대답 isso 할수있는 정보 시스템 구성은 대행사의 정보 보안 정책을 준수하고있습니다. 인증 패키지의 모든 서류가 준비 중 하나에 의해 isso, 또는에 대한 isso을 통해 직원 또는 하청. 일반적으로 issos이있는 대형 플레이트의 책임과 그들이 필요로 추가 능성이 자신의 지팡이와 함께 계약자를 준비하는 인증 패키지를 신속합니다. 일반적이지 않은 것은 아니다 하나에 대해 isso가 책임을 준비 중 반 십여 c & a 패키지입니다. 이후 한 c & 한 패키지를 쉽게 걸릴 수있다는 1 년에 잘 - 능숙하게 보안 전문의를 준비, 그것은 간주 표준 및 허용에 대한 issos을 채용 컨설턴트 밖의 기관에서 인증 패키지를 준비합니다. 또한 객관성을 향상 인증 패키지가 그것을 준비하여 3 - 정당 개인이되어 있지 않은 부분을 기관의 자체 직원입니다.

일단 인증 패키지가 완료되면 isso 선물 그것을 평가 팀에게 다음을 진행하여 유효성을 findings.the 평 팀이 확장자의 인증 에이전트입니다. 인증 에이전트를하지 않는 경우에 임명 또는 조립 평가 팀을 인증 에이전트를해야한다 준비를 평가 인증 패키지를 만들 권고안에 문제가 있는지 여부에 긍정적인 인증입니다.

c & a 7412

가 c & a 7412, 때때로의 추천을로 c 및 검토를 팀을 준비하여 인증 패키지에 대한 복종을 평가 팀입니다. 대부분의 경우는 c & a 7412은 외부 consultants.the c & a 7412 수도있습니다 혼합 팀이 외부 컨설턴트 및 내부 기관 직원입니다. 가 c & a 7412 업무에 정보 시스템 소유자지만, 대개의 방향을 아래의 정보 시스템 보안 담당관입니다. 퍼팅을 함께 라야 인증 패키지, 그것은 c & a 7412이 수행하여 대량의 work.the c & a 7412을가 질 필요는 전문 배경에서 정보 보안을 폭넓고의 이해의 다양한 측면의 보안 아키텍처 , 정보 기밀 유지, 정보 무결성, 정보 용성, 보안 정책, 그리고 fisma 규정합니다.

기구 사찰단

의 방문을 준비 gao, 모든 기관, 일부 지국,이 자신의 사찰에서 제공되는 사이트를 방문하여 대행 기관을 정기적으로 평가 있으면 적절한 fisma 준수가 벌어지고있습니다. 대부분의 경우, 경찰청 사찰단은 필요하지 않습니다 고급 통지 및 그들의 방문을 줄 정도가 소요될 수있습니다 배치하지 않고 warning.the 대행사 내부 사찰단 오지에서 대행사 사무실의 검시관 일반 (oig)입니다. 많은 기관 oig 사무실이 자신의 웹 사이트, 그리고 다른 책임에 대한 자세한 내용을 읽을 수있습니다의 oig있다.

환경 보호 기관 www.epa.gov/oigearth/

연방 통신위원회 www.fcc.gov/oig/

응용 농업 www.usda.gov/oig/

응용의 건강과 인간의 서비스를 http://oig.hhs.gov/

사회 보장 행정 www.ssa.gov/oig/

미국 우편 서비스 www.uspsoig.gov/

는 목표의 대행사 oig는 그들을 잡아 모든 문제를 해결하지 않도록로 나타나며 gao reports.the oig 사무실이 자신의 결함에 대한 조사 및 검토 과정과 서로 다른 oig 사무실 5월 그들의 세무을 다양한 방법으로 수행됩니다. oig 사무소는 더욱 경각심들이 감사 및 검토 과정이 더 우려가되는 것을 방지하는 기관에 의해 결함 gao 사찰로 들었다.

gao 사찰단

감독 gao 방문 연방 정부 기관에 대한 감사에서 연간 기준을 검토 공인 인증 패키지를했는지 확인하는 것이 공인 properly.the gao도 리뷰되었습니다 대행사의 c &하는 프로세스를 확인하면 사용이 허용됩니다. gao 발견되는 경우에는 인증 패키지들이 부적절하게 출입, 또는 경우에 기관의 c & 한 프로세스는 결함이 어떤 방식 으로든, 대행사 관계자는 문서 결과와 광고 대행사를 받게됩니다 저조한 성적을 연차 연방 컴퓨터 보안 리포트 카드입니다. 연방 컴퓨터 보안 리포트 카드가 게시된 각 연도는 미 정부 개혁위원회에있습니다.

수준의 감사를

고려에 대한 평가 팀, oig 사찰, 그리고 gao 사찰단,는 것을 알 수있습니다 fisma 과정 undergoes 엄격한 수준의 감사 (참조 그림 3.1). 보통 이하도없습니다 3 개 레벨의 감사합니다. 일부 대리점하기도해야하는 추 수준의 감사합니다. 리뷰에 대한 평가 팀 후 인증 패키지를 열 수있는 또 다른 내부 준수 조직 인증 패키지를 다시 검토해 수 있는지에 대한 평가 팀들은 직장을 올바르게합니다. 원래 평 팀과 ancillary 준수 팀 않을 수있습니다 사실에 대한 동의 여부를 인증 패키지를해야한다 인증을, 그리고 종종 두 개의 내부 감사기구는 그 자체가 수많은 토론들 사이에 합의가 오기의 최종 인증 추천합니다. 데 이렇게 많은 수준의 감사를 사실처럼 보인다시; 그러나이 기관이 보인다 탐닉 이러한 감사 redundancies, 그리고 분리의 임무, 자주 편도가 장의 연방 컴퓨터 보안 리포트 카드입니다.

fisma 수준의 감사에 대한 검토하는 인증 패키지

gao 사찰단
¬
oig 사찰단
¬
인증 에이전트
¬
평가 팀
¬
인증 패키지

이것은 문서들 의해 hemant baidwan

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions