الادوار والمسؤوليات في اعتماد واعتماد كاليفورنيا
ج & ا ينطوي على الكثير من الناس فى جميع مختلفة تعمل معا على مختلف المهام. هناك الناس الذين تطوير ج & برنامجا ، والناس الذين يعدون شهادة حزم ، والناس الذين هم مسؤولين عن الشهاده حزم ، وكالة المراجعين الذين سيقيمون الشهاده الطرود قبل الاعتماد ، والاتحادي مفتشي الوكالة من مراجعة الحسابات للتأكد من ان الذي يفعلونه ج ا & الطريق الصحيح. كبير موظفي المعلوماتالوكالة كبير موظفي الاعلام (كبير موظفي المعلومات) هو الاكثر وضوحا الشخص للمساءلة من اجل انجاح البرنامج وأمن المعلومات & ج برنامجا. وهو كبير موظفي المعلومات مسؤولية التأكد من ان البرنامج لأمن المعلومات ، بما & ج أ أ البرنامج ، ويتم تنفيذه موجود. ومع ذلك ، فان معظم الوكالات بتعيين لا تلعب العملي على دور في تطوير هذه البرامج. عادة ما يكون كبير موظفي المعلومات سوف تعين على تطوير هذه البرامج لكبار موظفي وكالة موظف امن المعلومات. ومع ذلك ، تفويض البرنامج الانمائي لا يعني ان كبير موظفي المعلومات ليست في حاجة الى فهم العملية. واذا كان كبير موظفي المعلومات لا يفهم جميع عناصر النجاح ج & برنامجا لا توجد فرصة تذكر ان كبير موظفي المعلومات سوف تكون قادرة على عقد كبار كالة امن المعلومات ضابط كبير مسؤول عن وضع برنامج كامل. دون فهم تفاصيل ما ينبغي ان تتضمن برنامجا ، كبير موظفي المعلومات لن يعرف ما اذا كانت وكالة المعلومات كبار ضباط الامن قد ترك اي شيء. قطعة من ا & ج لا يمكن تجاهله هو ضرورة لكبير موظفي المعلومات لوضع ميزانيه للج & آ. ا & ج الوقت مكثفة جدا ، ونمطيه ج & ا يأخذ في المتوسط ستة اشهر الى القيام بعمل شامل ، تزخر بكل ما يلزم information.the كبير موظفي المعلومات تعمل جنبا الى جنب مع الاذن الرسمي من اجل ضمان وجود ما يكفي من الموازنه موظفي الموارد اللازمة لوضع برنامج الشهاده معا. اذا معياريه لا ميزانيه ل& ج أ ، ج ا & قد لا تحصل على done.the كبير موظفي المعلومات ا & ج يمكن أن تتم عن طريق التفهم الكامل للعملية الميزانيه الاتحادية على النحو الموثق في نشرة وضعت من قبل البيت الابيض المعروفة باسم التعميم رقم أ - 11 7 الجزء التخطيط ووضع الميزانيه واقتناء ، وادارة الأصول الراسماليه. هذا المنشور هو متاح حاليا في www.whitehouse.gov/omb/circulars/a11/2002/part7.pdf. أ - الجزء 11 7 اشارات اخرى تتعلق بالميزانيه المبادئ التوجيهيه ان كبير موظفي المعلومات كما ينبغي ان تصبح على درايه ، بما في احد يعرف omb معرض 300. Omb المعرض 300 هو متاح حاليا في www.cio.gov/archive/s300_05_ draft_0430.pdf. ومن كبير موظفي المعلومات في نهاية المطاف ان من المرجح ان تكون مسؤولة وخاضعه للمساءلة إذا كان للوكاله ان يحصل الفقراء على الصف الاتحادية السنويه الحاسوب الامن تقرير البطاقه. واحدة من المسؤوليات من كبير موظفي المعلومات هو تبالي الاتحادية السنويه الحاسوب الامن تقرير بطاقه الصف. واذا لم يحصل كالة الصف ، ثم من الواضح ان هناك شيئا خاطئا اما مع ج & برنامجا في حد ذاته ، او كيف ينفذ البرنامج. اذا كانت وكالة يحصل على أعلى درجة الاتحادية السنويه الحاسوب الامن تقرير البطاقه ، ثم بقدر ج & ا نافلة ، عملية يجري العمل حاليا على الطريق الصحيح. كما الاتحادية الحاسوب الامن تقرير بطاقات احصل على المزيد والمزيد من الاهتمام العام في كل سنة ، فقير الدرجة بناء على تقرير البطاقه يمكن الوظيفي - الحد من الخبرة لأية وكالة أو كبير موظفي المعلومات. الاذن الرسميالاذن الرسمي هو مصطلح عام للادارة العليا الرسمية داخل وكالة الذين يأذن عمليات نظام معلومات ، معلنا ان المخاطر المرتبطه به هي مقبولة. ومن غير المحتمل ان أي شخص ستحمل عنوان "الاذن الرسمي ،" ومن ثم أنا لست التنقيط ومن هنا letters.there مع رأس المال قد يكون الموظفون الرسميون المخولون متعددة داخل كل وكالة مسؤولة عن جميع المناطق المخصصه الخاصة بهم. وفي كثير من الوكالات ، والاذن الرسمي يشار اليها على أنها تفويض السلطة المعينه (كوستا). الاذن الرسمي له عادة الميزانيه المسؤوليات لضمان أن قدرا معينا من تخصيص موارد من اجل الاشراف على عملية ا & ج. عادة الوكالة كبير موظفي المعلومات في التقارير الرسمية الى الاذن. ولكن ، في الوكالات الكبيرة ، حيث بعض اعضاء المكتب بتعيين تقرير لوكاله كبير موظفي المعلومات ، ويمكن ان يكون الحال ان كبير موظفي المعلومات هو الذي يأذن الرسمية. وفي حالات اخرى قد يكون الاذن الرسمي او مفوض مساعد مفوض. واذا كان الاذن الرسمي وكبير موظفي المعلومات هما الاشخاص المختلفين ، وأنها يجب أن نعمل معا للتأكد من ان ميزانيه كافية كان قد نقض للج & آ. اذن ينبغي الرسمية ، ووفقا للمعهد الوطنى للمعايير ، المنشور الخاص 800-37 (أيار / مايو 2004) ، ان احد موظفى الولايات المتحدة والحكومة لا يمكن ان يكون المقاول او الاستشاري. ومع ذلك ، فان الاذن الرسمي تعيين ممثل للاضطلاع بمختلف المهام المتعلقة ج & ا ، والممثل المعين يمكن ان يكون المقاول او الاستشاري. ومع ذلك ، فان الامن اعتماد قرار نهائي ورافقها من الاعتماد المقرر الرسالة يجب أن تكون مملوكة وقعته الحكومة الاميركية ان الموظف هو الذي يأذن الرسمية. كبار ضباط الامن وكالة المعلوماتكبار كالة موظف أمن المعلومات (saiso) هو ان هذا الشخص يحمل مسؤول كبير موظفي المعلومات للاشراف على جميع من الوكالة أمن المعلومات initiatives.the saiso هو اقرب الى احد كبار ضباط أمن المعلومات في القطاع الصناعي الخاص. فمن الممكن ان احظوا قد تؤدي هذا الدور انفسهم ، وفي هذه الحاله لن تكون هناك منفصل عقد هذه المسؤوليات الفرديه. فان saiso يعمل مع وكالة الموظفون الرسميون المخولون لضمان ان تكون في الاتفاق على المتطلبات الأمنية للنظام المعلومات فضلا عن الوثائق الرئيسية الواردة في الشهاده حزمة مثل تقييم المخاطر وخطة الأمن. في العمل معا ، saiso والموظفون الرسميون المخولون ينبغي أن تكون على يقين من ان يأخذ في الاعتبار احتياجات الأعمال وبعثة من الوكالة. فان saiso توفر الإشراف الإداري على الشهاده ، وتعمل مع وكيل له او لها لضمان ان ا & ج هو عملية مدروسه جيدا ، ويشمل كل ما يلزم من الوثائق وguidance.the saiso الشهاده يعين وكيلا لها وتحمل المسؤولية عن ادائهم واجبات. ومن المهم جدا لsaiso إختيار الوكيل شهادة (ق) بعناية لانها سوف تحتاج الى الاعتماد على وثائق اعتمادهم التوصيات. فان saiso قد ترغب في استعراض جميع الشهاده الطرود التي يتم تجهيزها داخل الوكالة ؛ ولكن ، من الناحية العملية ، ومن المستحيل ان نفعل ذلك. في معظم الوكالات ، وهناك عدد كبير جدا من اصدار الشهادات لمجموعات فردية واحدة لاستعراض والتثبت منها. ونتيجة لهذا السبب بالذات ، ويستخدم saiso شهادة الوكيل (أو وكلائهم) ليصبح حزم ، في اجراء هذه التقييمات ، اكتب توصيات ، واصدار وثيقة تسمى الامن التقرير التقييمي. التقييم الامنى هو اساسا تقرير ملخص تقييمي وينبغي تبرير ودعم توصية بشأن ما اذا كان أو عدم اعتماد تقرير التقييم package.the الامن ينبغي ان تكون جميع المعلومات التي تحتاج الى تبرير saiso التوقيع الاعتماد الرسالة ، وتصعد الى اعلى توصية الى المكتب - الاذن ظهرا ما اذا كان ينبغي او لا ينبغي لها ان توقع رسالة الاعتماد. كبار الوكالة الرسمية الخصوصيهكل وكالة من المفترض أن يكون أحد كبار الوكالة الرسمية الخصوصيه. لوكاله كبير ، احد كبار الخصوصيه وكالة رسمية قد تكون وظيفة بدوام كامل. ومع ذلك ، لوكالة صغيرة ، فمن الممكن ان مسؤوليات هذا المسؤول قد يكون يؤديها كبير موظفي المعلومات ، وكبير موظفي المعلومات للموظفين ، او saiso.the شخص في هذا الدور يمكن ان تعقد لقب رئيس الخصوصيه الموظف او سعادة وقالت انها لا تترتب عليها ، بالضروره ، الى ان يطلق عليه كبار الخصوصيه الوكالة الرسمية. ما هو أهم هو ان شخصا ما المعينه لأداء واجبات حمايه المعلومات السرية والخاصة. شهادة عميل / فريق التقييمالشهاده الوكيل الاستعراضات الشهاده حزم ، وتقديم توصيات بشأن ما اذا كانت تستدعي وجود اعتماد ايجابية ام لا. اساسا ، واصدار الشهادات وكلاء بمثابة auditor.they المشط غير عملي من خلال اصدار شهادات مجموعات تبحث عن المعلومات الناقصه والمعلومات التي لا تجعل sense.their والهدف من ذلك هو معرفة ما اذا كان الطرد فى الامتثال للوكاله موثقه ج & كتيب ، العملية ، والسياسات الأمنية ، ونظام المعلومات للمتطلبات الأمن. في بعض الوكالات ، وهناك الكثير من مجموعات لتقييم التصديق انه عميل يضم تقييما team.the فريق قد يكون له اسم الادارات مثل البعثة وضمان التأكد من المعلومات ، أو compliance.the التنظيمية اسم هو بالنسبة للجزء الاكبر غير ذي صلة ويمكن أن تختلف من وكالة إلى أخرى. وبعد ان استعرض ج ا & حزم ، والشهاده وكيلا ، او فريق التقييم ، ويقدم توصيات الى الداخلية تفويض السلطات - saiso وعلى الاذن الرسمي - سواء كان أو لم يكن ينبغي ان تكون مجموعة معتمدة ام لا. وفي معظم الحالات ، والاذن الرسمي saiso تقبل توصية الشهاده الوكيل ، وعلامات الاعتماد رسالة يستند فقط الى توصية من شهادة الوكيل. مشفوعا بتوصيه ، والشهاده الوكيل تنتج أيضا ويشمل التقرير التقييم الامنى. الامن تقرير التقييم ينبغى تبرير التوصيه. عندما الشهاده الوكيل هو فريق من الناس ، وهي عادة تقسيم المهام المختلفة التي يتعين انجازها وذلك للاسراع في هذه العملية. على سبيل المثال ، شخص واحد يمكن ان تقيم مجموعات للدعم العام النظم ، فان شخصا اخر قد حزم تقييم للتطبيقات الرئيسية ، وشخص آخر قد تخلق وتحديث النماذج ، وشخص آخر قد تحديث الكتيب. الشهاده الوكيل هو ايضا مسؤولة عن وضع الداخلي & ج أ العملية ، وجميع الوثائق التي تصف هذه العملية - الدليل templates.the وثائق التصديق انه عميل لتقييم تطور المجموعات هي قوائم وبطاقات نقاط. القوائم والبطاقات نقاط ينبغي ان تكون متسقه مع النماذج وhandbook.the قوائم مرجعيه تساعد الشهاده الوكيل اكتب الامن التقرير التقييمي. ومن الممكن ان تكون شهادة الوكيل وكبار ضباط الأمن وكالة المعلومات قد يكون نفس الشخص منذ بعض الوكالات الصغيرة التي قد لا تتوفر لها الموارد الداخلية الى مختلفين الموظفين المنتدبين لهذه الادوار. اذا كانت الشهاده هي الوكيل saiso واحد في نفس الشخص ، ثم الشهاده الوكيل يجعل اعتماد التوصيه الى الاذن official.the شهادة الوكيل لا يجعل القرار النهائى بشأن ما إذا كان ا & ج حزمة ينبغي المعتمدين - له ان يجعل توصيات فقط على ما اذا كان او لم يكن ينبغي ان تكون مجموعة المعتمدين. من اجل اظهار الموضوعيه ، وانه في اغلب الحالات ان فريق التقييم يتكون من خبراء استشاريين خارجيين. Fisma ، § 3454 تنص على ما يلي : كل سنة كل وكالة ويكون أداؤها تقييم مستقل للبرنامج أمن المعلومات والممارسات من ان الوكالة لتحديد فعالية هذا البرنامج والممارسات. واذا تقرر الوكالة الى استخدام موظفيها ، وأنها ينبغي أن تكون على يقين من ان هناك فصل واضح بين واجبات مقيمين وللمنظمات التي هي عرضة ج & ا لطرود التقييم. الاعمال المالكالاعمال المالك هو اشارة عامة الى نظام المعلومات المالك ، وانه من المرجح ان يكون هناك اى من العاملين فى الوكالة مع عنوان "نظام المعلومات مالك ،" هذا هو السبب فى اننى لست هنا الافاده من المصطلحات. نظام المعلومات يمكن ان يكون المالك ومدير برنامج الامم ، طلب مدير ، مدير تكنولوجيا المعلومات ، او الهندسه على سبيل المثال المدير. وباختصار ، انه هو الشخص المسؤول عن التنمية والعمليات للنظام المعلومات. نظام المعلومات المالك هو الذي عادة ما يحصل على الكرة المتداول للجديد ج ا & المشروع. نظام المعلومات أصحاب الحاجة الى ضمان أن يكون نظام المعلومات هو تماما المعتمدين قبل ان يجري وضع حيز الانتاج. مرة واحدة هي نظام للمعلومات في الانتاج ، فهي بحاجة الى اصدار شهادات معتمدة ومرة كل ثلاث سنوات. فهو نظام المعلومات المالك مسؤولية تعيين شخص ما ليكون نظام المعلومات ضابط امن لنظام يتطلب ج & آ. نظام المالكالنظام المالك هو الشخص المسؤول عن ادارة النظم ان ا & ج تمتد على تطبيق. نظام يمكن أن يصبح مالك مدير نظم لون واحد ، أو نظم الادارة. كبير في توزع الطلب ، فمن الممكن ان النظم المختلفة التي هي قطعة من تطبيق البنية التحتية لها نظام مختلف لاصحابها. عندما كبير وقد وزعت تطبيق نظام مختلف اصحابها ، وأحيانا اختلاف نظام يمكن اصحاب مواقع جغرافيه مختلفة او مباني مختلفة. ا & ج جميع الطرود ، واذا كان من صفقة كبرى للتطبيق ، او دعم البنية الأساسية للخدمات العامة التي تمتد على تطبيق ، الذين ينبغي ان يحدد النظام المالك is.the نظام المالكون الناس الذين يوفرون نظم support.the نظام المالك ينبغي الاشارة في جرد الاصول. معلومات الاتصال لأصحاب النظام ينبغي ان يشار في خطة طوارئ والاعمال تقييم الاثر. معلومات المالكالمعلومات المالك هو الشخص الذي يمتلك معلومات data.the مالك عن قلقها ازاء سلامة البيانات ، وبابلاغ مع نظام المالك ازاء القضايا ذات الصلة بأمن ضوابط للنظام قواعد البيانات او ان بيانات الشخص يقيم on.the ، او الادارة ، التي تمتلك هذه البيانات ليست دائما نفس نظام المالك ، وان كان يمكن ان يكون. وفي كثير من الحالات ، فان هذا النظام يحتفظ المالك البيانات للمعلومات owner.the معلومات المالك هو في كثير من الاحيان شخص التقارير الى الاعمال المالك ويمكن ان يكون مدير قاعدة بيانات ، او اي طلب مدير. ومن المحتمل ان بعض المنظمات في المعلومات والاعمال مالك مالك هما نفس الشخص. ومن الممكن ان تكون البيانات على نظام المقرر اجراؤها & ج أ أ مختلفة تقع تحت اختصاص اكثر من نظام المالك. ومن الممكن ايضا ان المعلومات مالك ومالك هي منظومة واحدة في نفس الشخص. في بعض الاحيان قد تكون إدارة قواعد البيانات ويديرها شخص ما ان الخبراء قد وثائق التفويض في المنطقة. واذا كان النظام المالك واصحاب المعلومات ليست واحدة في نفس الشعب ، وهذا ينبغي ان يلاحظ في الشهاده حزمه في جرد الاصول. نظام المعلومات ضابط أمننظام المعلومات ضابط أمن (isso) مسؤولا عن ادارة الأمن للنظام المعلومات التى من المزمع ان ل& ج الف isso يأمن ان نظم المعلومات في التشكيل هو الامتثال للوكاله سياسة امن المعلومات. كل مجموعة وثائق التصديق مستعدون اما بواسطة isso ، او لisso ، من قبل الموظفين او المتعاقدين. Issos عادة ما يكون لوحة كبيرة من المسؤوليات واطلعوا على الارجح سوف تحتاج الى زيادة الموظفين مع المقاولين لاعداد شهادة حزمة السرعه. فليس من غير المألوف ان احد isso لتكون مسؤولة عن اعداد النصف اثني عشر ج ا & حزم. منذ واحد ج & حزمة يمكن بسهولة ان تتخذ كل سنة لعلي درايه جيدة لاعداد خبراء الأمن ، وهو يعتبر معيارا مقبولا للissos وتوظيف الاستشاريين من خارج الوكالة لاعداد حزمة الشهاده. كما انه يحسن الموضوعيه للتصديق على صفقة قد اعدت من قبل طرف ثالث الأفراد التي لا تشكل جزءا من الوكالة ذاتها الموظفين. وبمجرد التصديق حزمة كاملة ، isso يعرض عليه لفريق تقييم من ثم تنتقل إلى إثبات صحه findings.the فريق التقييم تعتبر امتدادا للشهادة الوكيل. اذا الموثقه لا يعين وكيلا او التجمع فريق تقييم ، الموثقه الوكيل ينبغي ان يكون مستعدا لتقييم الشهاده حزمة وتقديم توصية بشأن ما اذا كان سيصدر ايجابية الاعتماد. ج & ا معديفان ج & ا معدي ، التي يشار اليها أحيانا باعتبارها ج & فريق الاستعراض ، واعداد حزم الشهاده لتقديمها الى فريق التقييم. وفي كثير من الحالات ، ج ا & معدي هم خارج consultants.the ج ا & معدي يمكن ايضا ان تكون مختلطه فريق من خبراء استشاريين من الخارج والداخلية موظفي الوكالة. فان ج ا & معدي العمل من اجل نظام معلومات المالك ، ولكن عادة بتوجيه من نظام المعلومات ضابط أمن. عندما يتعلق الأمر الى وضع حزمة الشهاده معا ، فهو ج ا & معدي ان أداء الجزء الأكبر من work.the ج ا & معدي الحاجة الى وجود خبراء في أمن المعلومات الخلفية مع اتساع فهم الأوجه المختلفة لهيكل امني ، والمعلومات السرية ، وسلامة المعلومات ، وتوافر المعلومات ، والسياسات الأمنية ، وfisma الانظمه. مفتشو الوكالةالاعداد لزيارات من غاو ، وجميع الوكالات ، وبعض المكاتب ، خاصة بهم المفتشون ان يأتي على موقع لمكاتب وكالة دورية لتقييم ما اذا كان سليم fisma الامتثال يحدث. وفي معظم الحالات ، فإن مفتشي الوكالة لا تشترط لاعطاء الكثير من الأشعار المتقدمه والزيارات التي قاموا بها يمكن ان تتم من دون warning.the الداخلية مفتشي الوكالة تأتي من وكالة مكتب المفتش العام (ناسا). العديد من مكاتب وكالة ناسا لديها مواقع على شبكة الانترنت ، ويمكنك قراءة المزيد حول المسؤوليات المختلفة للبالولايات هناك. وكالة حمايه البيئة www.epa.gov/oigearth/ لجنة الاتصالات الاتحادية www.fcc.gov/oig/ قسم الزراعة www.usda.gov/oig/ قسم الصحة والخدمات الانسانيه http://oig.hhs.gov/ ادارة الضمان الاجتماعي www.ssa.gov/oig/ الولايات المتحدة الخدمات البريديه www.uspsoig.gov/ والهدف من وكالة ناسا هو الى التقاط اي مشاكل وحلها حتى لا تظهر العيوب على النحو غاو reports.the بالولايات مكاتب خاصة بهم والتحقيق وعملية الاستعراض ويجوز للمكاتب مختلفة بالولايات القيام بمسؤولياتهم والمراجعات بطرق مختلفة. ناسا المكاتب التي هي اكثر يقظه في مراجعة الحسابات واستعراض عملية الارجح الى منع الوكالة من ناقص كما ذكرت من قبل مفتشي غاو. غاو المفتشينالرقابة مراجعي الحسابات من غاو زيارة الوكالات الفيدراليه على اساس سنوى ، واستعراض مجموعات توثيق معتمدة للتأكد من انها كانت قد اعتمدت لدى properly.the غاو كما يستعرض الوكالة ج & عملية لتحديد ما اذا كان مقبولا. اذا كان غاو يكتشف ان العبوات كانت شهادة معتمدة في غير موضعها ، أو إذا كانت الوكالة ج & عملية منقوصه بأي شكل من الاشكال ، وكالة المسؤولين سوف يوثق النتائج التي توصلت اليها وكالة سيحصل على الفقراء الصفوف الاتحادية السنويه الحاسوب الامن تقرير البطاقه. الحاسوب الامن الاتحادي بطاقه تقرير تنشره كل سنة بواسطة يو اس اللجنة الحكومة على الاصلاح. مستويات مراجعة الحساباتمع الاخذ في الاعتبار ان فريق التقييم ، طيلة المفتشين ، وغاو المفتشين ، يمكنك ان ترى ان عملية fisma يخضع للمراجعة صارمه المستويات (انظر الشكل 3.1). عادة هناك ما لا يقل عن ثلاثة مستويات للمراجعة. بعض وكالات بل ربما يكون بمستوى اضافي من مراجعة الحسابات. بعد ان فريق التقييم استعراضات الشهاده صفقة ، فمن الممكن ان آخر الامتثال الداخلي ، يجوز للمنظمة استعراض حزمة الشهاده مرة اخرى لنرى ما اذا كان فريق التقييم لم بواجبها على الوجه الصحيح. الاصلي فريق التقييم وفريق الامتثال فرعيا في الواقع قد لا تتفق على ما اذا كان ينبغي ان تكون مجموعة شهادات معتمدة ، وكثيرا ما يكون اثنان المراجعه الداخلية للحسابات المنظمات وسوف تكون لدينا العديد من المناقشات فيما بينها من اجل التوصل الى اتفاق نهائي بشأن اعتماد التوصيه. وبعد ذلك العديد من المستويات لمراجعة الحسابات في واقع الامر يمكن ان يبدو مثل الاسراف ؛ ومع ذلك ، يبدو أن وكالات ينغمسون في هذه المراجعه والتكرار ، وفصل الواجبات ، في كثير من الاحيان عن سعر التذكره افضل الاتحادية الحاسوب الامن تقرير البطاقه. Fisma مستويات المراجعه لمراجعة الشهاده حزمة غاو المفتشين هذا هو مقال اضافها hemant baidwan
|
|||
|