Πλαίσια Ελέγχου Ασφάλειας - οι ανδρείκελοι

Οι οργανισμοί υιοθετούν συχνά ένα πλαίσιο ελέγχου ασφαλείας για να βοηθήσουν στις προσπάθειες συμμόρφωσης με το νόμο και τις κανονιστικές διατάξεις. Ορισμένα παραδείγματα σχετικών πλαισίων ασφαλείας περιλαμβάνουν τα εξής:

• COBIT. Το COBIT, το οποίο αναπτύχθηκε από την Ένωση Ελέγχου και Ελέγχου Πληροφοριακών Συστημάτων (ISACA) και από το Ινστιτούτο Διακυβέρνησης Πληροφορικής (ITGI), αποτελείται από διάφορα στοιχεία, συμπεριλαμβανομένου του πλαισίου
  • . Οργανώνει τους στόχους και τις βέλτιστες πρακτικές διακυβέρνησης της πληροφορικής.
  • Περιγραφές διαδικασιών. Παρέχει ένα μοντέλο αναφοράς και μια κοινή γλώσσα.
  • Στόχοι ελέγχου. Παρέχει υψηλού επιπέδου απαιτήσεις διαχείρισης για έλεγχο μεμονωμένων διαδικασιών πληροφορικής.
  • Οδηγίες διαχείρισης. Εργαλεία για την ανάθεση ευθύνης, τη μέτρηση της απόδοσης και την απεικόνιση των σχέσεων μεταξύ των διαδικασιών.
  • Μοντέλα ωρίμανσης. Αξιολογεί την οργανωτική ωριμότητα / ικανότητα και αντιμετωπίζει τα κενά.

Το πλαίσιο COBIT είναι δημοφιλές σε οργανισμούς που υπόκεινται στον νόμο Sarbanes-Oxley Act.

• NIST (Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας) Έκδοση 800-53: Έλεγχοι Ασφαλείας και Προστασίας Προσωπικών Δεδομένων για Ομοσπονδιακά Πληροφοριακά Συστήματα και Οργανισμούς. Γνωστό ως NIST SP800-53, αυτό είναι ένα πολύ δημοφιλές και ολοκληρωμένο πλαίσιο ελέγχου που απαιτείται από όλες τις κυβερνητικές υπηρεσίες του Ηνωμένου Βασιλείου. Χρησιμοποιείται επίσης ευρέως στην ιδιωτική βιομηχανία.
• COSO (Επιτροπή Οργανισμών Χορηγιών της Επιτροπής Treadway). Ανάπτυξη από το Ινστιτούτο Λογιστών Διοίκησης (IMA), το Αμερικανικό Λογιστικό Ίδρυμα (AAA), το Αμερικανικό Ινστιτούτο Πιστοποιημένων Λογιστών (AICPA), το Ινστιτούτο Εσωτερικών Ελεγκτών (IIA) και το Διεθνές Χρηματοοικονομικό Σύμβουλο (FEI) αποτελείται από πέντε στοιχεία:
  • Περιβάλλον ελέγχου. Παρέχει τις βάσεις για όλα τα άλλα στοιχεία εσωτερικού ελέγχου.
  • Αξιολόγηση κινδύνου. Ορίζει τους στόχους μέσω εντοπισμού και ανάλυσης των σχετικών κινδύνων και καθορίζει αν οτιδήποτε θα εμποδίσει την οργάνωση να επιτύχει τους στόχους της.
  • Δραστηριότητες ελέγχου. Πολιτικές και διαδικασίες που δημιουργούνται για να διασφαλιστεί η συμμόρφωση με τις οδηγίες διαχείρισης. Διάφορες δραστηριότητες ελέγχου συζητούνται στα άλλα κεφάλαια αυτού του βιβλίου.
  • Πληροφόρηση και επικοινωνία. Εξασφαλίζει την ύπαρξη κατάλληλων συστημάτων πληροφόρησης και αποτελεσματικές διαδικασίες επικοινωνίας σε ολόκληρο τον οργανισμό.
  • Παρακολούθηση. Δραστηριότητες που αξιολογούν την απόδοση με την πάροδο του χρόνου και εντοπίζουν ελλείψεις και διορθωτικές ενέργειες.
• ISO / IEC 27002 (Διεθνής Οργανισμός Τυποποίησης / Διεθνής Ηλεκτροτεχνική Επιτροπή). Το ISO / IEC 27002 τεκμηριώνει τις βέλτιστες πρακτικές ασφάλειας σε 14 τομείς ως εξής: Πολιτική ασφάλειας πληροφοριών
  • Οργάνωση της ασφάλειας των πληροφοριών
  • Επίσημα με τίτλο "Τεχνολογίες Πληροφορικής - Τεχνικές Ασφάλειας - Ασφάλεια ανθρώπινων πόρων
  • Διαχείριση περιουσιακών στοιχείων
  • Έλεγχος πρόσβασης και διαχείριση πρόσβασης χρηστών
  • Κρυπτογραφική τεχνολογία
  • Φυσική ασφάλεια των χώρων και του εξοπλισμού του οργανισμού
  • Ασφάλεια λειτουργίας
  • Ασφαλείς επικοινωνίες και μεταφορά δεδομένων > Συστήματα απόκτησης, ανάπτυξης και υποστήριξης συστημάτων πληροφοριών
  • Ασφάλεια για προμηθευτές και τρίτους
  • Διαχείριση περιστατικών ασφάλειας πληροφοριών
  • Ασφάλεια πληροφοριών για τη διαχείριση της συνέχισης της επιχείρησης
  • Συμμόρφωση
  • ITIL (Βιβλιοθήκη Υποδομής Πληροφορικής).
  Ένα σύνολο βέλτιστων πρακτικών για τη διαχείριση υπηρεσιών πληροφορικής που αποτελείται από πέντε τόμους, ως εξής:
• Στρατηγική Υπηρεσιών. Διευθύνει τη διαχείριση της στρατηγικής παροχής υπηρεσιών πληροφορικής, τη διαχείριση χαρτοφυλακίου υπηρεσιών, την οικονομική διαχείριση των υπηρεσιών πληροφορικής, τη διαχείριση της ζήτησης και τη διαχείριση των επιχειρηματικών σχέσεων.
  • Σχεδίαση υπηρεσιών. Διευθύνσεις συντονισμού σχεδιασμού, διαχείριση καταλόγου υπηρεσιών, διαχείριση επιπέδου εξυπηρέτησης, διαχείριση διαθεσιμότητας, διαχείριση χωρητικότητας, διαχείριση συνέχειας υπηρεσιών πληροφορικής, σύστημα διαχείρισης ασφάλειας πληροφοριών και διαχείριση προμηθευτών.
  • Μετάβαση υπηρεσίας. Διευθύνσεις σχεδιασμού και υποστήριξης μετάβασης, διαχείρισης αλλαγών, διαχείρισης ενεργητικού και διαμόρφωσης υπηρεσιών, διαχείρισης έκδοσης και ανάπτυξης, επικύρωσης και δοκιμής υπηρεσιών, αξιολόγησης αλλαγών και διαχείρισης γνώσης.
  • Λειτουργία συντήρησης. Διευθύνει διαχείριση συμβάντων, διαχείριση συμβάντων, εκπλήρωση αιτήματος παροχής υπηρεσιών, διαχείριση προβλημάτων και διαχείριση πρόσβασης.
  • Συνεχής βελτίωση υπηρεσιών. Ορίζει μια διαδικασία επτά βημάτων για πρωτοβουλίες βελτίωσης, συμπεριλαμβανομένου του προσδιορισμού της στρατηγικής, τον προσδιορισμό των μετρήσεων, τη συλλογή των δεδομένων, την επεξεργασία των δεδομένων, την ανάλυση των πληροφοριών και των δεδομένων, την παρουσίαση και χρήση των πληροφοριών και την εφαρμογή της βελτίωσης.