스테핑 인증 과정을 통해
지 4 개의 하이 - 레벨 단계를 c & a process.to 얻을 위상을 다른 하나에서, 도중에 많은 콘텐츠가 발생합니다. 나에게 도움을 이해할 수 있도록 하나의 위상을 다음 주소를 얻는 방법입니다. 개시 국면개시 단계는 대개의 정보 시스템을 통해 관리됩니다 비공식적 소유자와 isso. 비록 모든 정보 시스템 소유자를 알고있다는 사실 fisma 요구해야한다 새로운 정보 시스템으로 긍정적인 출입,이 부분에되지 않을 수도있습니다 최전방들의 minds.therefore, 그것이 전부가 능성이 isso 옮겨질 수의 필요성에 대해 c & a 가 관심의 정보 시스템 소유자입니다. c & a가 있는지 여부의 필요성에 의해 시작되며 정보 시스템 소유자, 또는 isso, 일부 종류의 응답이 두 개인 사이에있는 c & a 필요가 일어난다 발생한다. 가 응답을하지 않은 것으로 공식, 또는 심지어 서면합니다. 간단한 복도 대화가 충분 한, 양측에 올 수있습니다 동의하는 것이 시간을 얻을 c &하는 프로젝트를 시작합니다. 동안에 개시 위상, 정보 시스템을 소유하고 isso해야한다에 대한 동의를 위해 무엇을 리소스를 사용하려면 c & a를 준비 팀입니다. 결정을해야 할 사항에 대한 외부 계약자 여부를 채용하거나, 사내 직원을 사용합니다. 이후 c & a를 제대로 수행할 경우,은 보통 대부분의 사람들은 현실보다 훨씬 더 큰 취업을 할 수없습니다 외부 컨설턴트를 사용하여 강조할 정도의 값을합니다. 퍼팅을 함께 인증 패키지는 완전한 - 시간을 직장과 대개 결과가 부족할 경우에는 정부가 사무실을 시도 doubleup는 기존의 직원을 수행할 c & a 임무와 함께 자신의 기존 일일 루틴입니다. 에 아웃소싱의 준비는 인증 패키지를 외부 컨설턴트에 대한 isso을 보장하는 것이 중요합니다 그 또는 그녀는 고용 능력이 개인을 적절한 expertise.the isso해야 물어 수많은 질문을하기 전에 잠재적인 계약을 회사와 그 직원 506가 계약자 담당관 (cotr)을 종료하는 계약입니다. 질문 사항을 결정하는 데 도움 an isso에서 전문 c & a 역량의 잠재적 컨설턴트 수있습니다 : 에 대한 어떤 다른 기관이 수행한 c & a가? 은요 트랙 레코드에 긍정적인 자격증 취득합니까? c & a 문서의 이름을 줄 수있는 불편을 준비하고 있습니까? 수많은 여행을 드릴 수 있도록 할 계획에 대한 사이트를 만나 우리의 스태프가? 이력서에 사용할 수있는 컨설턴트를 제공을 할 수 있습니까? 은요 c & a 준비 서비스에 대한 설명을 귀하가? 참조에서 다른 기관 제공을 할 수 있습니까? 되지 않는 모든 c &하는 컨설팅 서비스는 동일합니다. 하나의 명확한 표시가있는 계약 회사를 완전히 이해하지 않는다 c & a이 경우 해당 목록은 불과 몇 문서 형식으로 자신의 c &하는 서비스에 대한 설명입니다. 일부 업체 이의 제기를 이해 c & a지만 예를 들어,이 목록에있는 자신의 c &하는 서비스는 자기 - 심사와 취약점 평 (어떤 코스는 전용 부분을 그림). 시겠습니까 컨설턴트를 채용하는 전체가 공을의 왁스를 이해하고 필요한 모든 문서를 개발할 수있습니다 c & 대답 그것은 단지 속도를 느리게하고 복잡한 과정을 채용하는 경우, 즉, 한 회사의 일부가 광고 게재를 개발하고, 다른 회사의 다른 부분을 개발합니다. 라야 c & a를 구하기 계약 회사가 제공 한 - 중지 - 쇼핑은 정말가 장 효과적인 방법으로 진행됩니다. 하나의 좋은 방법을 알아보십시오 후보가 계약 회사를 얼마나 잘 이해한다 c & a이 프로젝트를위한 제안을 요청하는 이들과 함께 이정표에 내장된 것이있습니다. 비교하여 서로 다른 프로젝트 제안서 측면 -에 의해 - 사이드,해야 될 후보가 계약을 취소하는 기업 최고의 전문 지식을 제공합니다. 마지막으로가 아닌 이상, 전 준비하는 인증 패키지를 isso 했어야 일부 이해의 제안된 인증 패키지를할지 여부는 결과의에 긍정적인 인증입니다. 최대 프런트되는 경우에 isso 알고 적절한 보안 컨트롤을받지 않은 투입 장소,이 보안이 부적절하게 구성된, 그리고이 보안 정책을 준수하지 않았을, 그것이 시작하기 전에 이러한 문제를 해결하기 위해 더 나은 c & a process.this하지 없는 것을 의미합니다 c & a는 선택 사항입니다. 나는 무엇을 제시하는가의 약점을 알고 있으면 시정을 요구하는, 그들을 즉시 시작을 수정합니다. 기다릴 필요가없습니다 c & 약간의 시간을 함께 제공하기 전에 필요한 정정합니다. nist 권고하는 정보 시스템 보안 계획은 분석 단계 동안에 개시합니다. 비록 아무 것도 이론적 잘못과 함께이 방법을, 그것은 종종이 사건에 대한 새로운 정보 시스템, 시스템 보안 계획이 존재합니다. 인증 패키지에 넣어 함께하는 것이 더 시나리오는 시스템 보안 계획이 중 하나를 서면을 처음으로, 또는 개정 및 업데이 트 과정에서 인증 단계입니다. 도중에 recertification의 패키지가되었습니다 이전의 인증, 오래된 시스템 보안 계획은 물론 이미 존재합니다. 개시 단계 이정표 동안에 개시 단계에서 이러한 질문을 요청해야합니다 : 이 c & a 7412 발견되었습니다니까? 이 알려진 보안 취약점을 해결되었습니다니까? 가의 fips 199 보안 분류 완료될가? 인증 단계인증 단계는 기간에 인증 패키지를 준비합니다. 이 단계 동안이있는 c & a 7412 (또는 검토 팀)을 모으를 모두 지원하는 증거와 문서 및 개발을 새 문서에 필요한 인증 패키지입니다. 경우에 제안된 c & a입니다 브랜드에 대한 새로운 정보 시스템, 아니오 사전 인증 패키지가 존재합니다. 경우에 c & a가에 대한 오래된 정보 시스템으로 이전 인증 패키지를해야한다 존재하고 검토를 위해 사용할 수있습니다. 3 년마다 새 c &로이 필요합니다. 인증에 대한 정보는 시스템을 이전에 공인이라고했습니다 "recertification." recertifications을 필요로하는 문서가 동일한 제품군의 새로운 인증 패키지를 필요로합니다. 이 작업을 recertification을 앞두고 인증 패키지를 검토해야 철저히을 보장하는 모든 위험을 이전에 이전 인증 패키지를 들었다에서 완화되었습니다. 가 c & 필요가 오기에 대한 검토를 대표팀은 사이트를 광고 대행사의 사무실을 사용할 수있는 정보 시스템의 개발 및 관리를 인터뷰 팀입니다. 에 대한 것이 중요합니다 c & 한 많은 내용을 검토 팀에 대한 자세한 정보 시스템능한를 요청 한 많은 질문으로 necessary.the 정보 시스템 소유자가되어야 자기 개발 스탭을 수용할 조언 c & 검토 팀을 제공하기 가능한 한 많은 정보와 함께 내용을 설계 및 구성의 시스템 예정된 c & 대답 c & 5월 구성된 검토 팀이 어디서나에서 몇 사람, 최대 1 십여 명 이상의 정보 시스템의 복잡성에 따라 예정된 c & 대답 무엇을해야 개인의 수를 결정에 c & 한 팀이은이 프로젝트의 범위 및 기간은 프로젝트입니다. 으로 범위를 늘릴 수있습니다 및 감소 기간의 필요성은 더 큰 c 및 검토를 팀 증입니다. 대부분의 c & 최소 3 개월을 필요로 검토 팀 최소를 조립 an 적절한 인증 패키지입니다. 이가 운데되지 않을 것이라고 질문, 그러나, 검토 팀에 대한 c & 6 개월이 걸릴 인증 패키지를 준비하는 대형 및 복잡한 인프라입니다. c &에 대한 우수 사례를… 인증 단계 이정표 디자인 및 건축 관련 서류가 검토를합니다. 보안 취약점이 발견됩니다. 위험을 완화의 증거가 발견됩니다. 인증 서류가 쓰여있습니다. 분석을 받아들일 위험에 광고 대행사가 완료됩니다. 가 인증 단계 가 인증 단계부터 시작하면 인증 패키지는 총 completed.the 평가 팀 읽습 인증 패키지를 통해 전체, 그리고 유효성을 확인하면 결과가 정확하고 모든 필수 정보가있을 경우입니다. 인증 패키지는 500 페이지에 쉽게 연결할 수있습니다 초과할 수있습니다. 적어도 2-4주해야한다 인증 단계에 배정합니다. 대부분의 평 팀들은 이미 준비 검사 목록의 특정 기준을 그들의 기대를 찾으려면 그들이 실제로 시작하기 전에 인증 패키지에 대한 평가있습니다. 인증 패키지를 통과하는 경우와 함께 986 평, 권고안이 이루어질 수있는 패키지 긍정적 accredited.the 인증 에이전트는 검토의 권고안을 한 것으로 보입니다 정당화,이 서명을 공식 문자에 accreditation.the 인증 문자는 또한 필요가에 의해 서명 isso, 정보 소유자의 허 관계자를 차례로 전송됩니다를 cio.the cio는 사실을 인정하기로 영수증의 서신에 의해 서명 그것입니다. c &에 대한 우수 사례를… 인증 이정표 복종의 패키지를 평 검토 및 주석 해결 방법 권고안을 생태 (또는되지 않습니다) 에서 지속적인 모니터링을 위상한 번하는 정보 시스템이 인증을, 그것 지속적으로 모니터링해야한다. 구성 관리 변경해야 될 일 - 이동하고 잘 - 관리 프로세스와 승인 메커니즘을 구축 인치 일정의 변경 사항과 버전의 코드를 변경 사항은 모두 문서화된다. 보안을 제어해야한다 그들도 모니터링하고 모든 변경 사항을 문서화해야한다. 방화벽 정책이 변경된 경우의 변경 사항 및 사유를 변경 사항을 문서화해야한다. 침입 탐지 구성 내용이 변경될 경우가해야하는 이유에 대해 충분히 설명하고 변경 사항을 문서화해야한다. 그것은 종종 이런 경우에 해당되지 거의 충분한 시간이 투입에서 지속적인 모니터링을 위상을 한 이후에 긍정적인 인증되었습니다, 대부분 issos 및 정보 시스템을 소유하는 경향이 숨을 a 안도의 한숨을 보인다를 넣는 등 전체가 c & 하나의 과정 뒤에 그들입니다. 퍼팅을 함께 인증 패키지 및 취득 an 인증은 결코 작업을 수행보다 더 많은 것으로, 이후에 작업이 완료되지 않은 대개 어느 누구의 의제에 대한 높은 이후에 사실입니다. 그러나, 문서를 최신으로 유지하면 이후의 모든 recertifications 훨씬 용이합니다. 하지 않는 한이 정보 시스템이 해지된,이 사실은 필요가 recertified 3 년 만에합니다. 는 문서의 한 부분이되는 인증 패키지가 고려 라이브 문서, 그리고 언제든지 업데이트될 수있습니다. 문서를 업데이 트하는 것이 좋습니다하자마자 변경 사항에 정보 시스템이 때 이후의 새로운 정보는 모든 사람의 마음에가 장 신선합니다. 업데이 트하는 설명서를 절대로 보인다 높은 목록에서 중요한 과제를 완료, 이런 이유로 저는 인증 패키지를 업데이 트하는 것을 권장합니다 서류는 내장된의 변경 관리 프로세스입니다. 각각의 시간이있는 문서가 업데이 트를한다 검토 및 승인을 통해 보관된 변경 관리 프로세스를 시작한 다음 로컬로 열린 오프 사이트 위치를 모두합니다. c &에 대한 우수 사례 지속적인 모니터링을 이정표 화해의 국내 & 날씨 특허 인용 횟수 설명서의 변경 사항을 시스템을 지속적인 모니터링의 보안을 제어 이것은 문서들 의해 hemant baidwan
|
|||
|