- Văn bản
- Lịch sử
Strengthening accountability A comm
Strengthening accountability
A common approach to introduce stronger accountability mechanisms is to make the heads of agencies clearly responsible for meeting minimum standards and adequately protecting sensitive personal information.
To illustrate, the UK Government is using the existing line of accountability through Accounting Officers to Parliament as a way to improve information handling; recognising that the individual Department or agency is best placed to understand and address risks to their information, including personal data.
The UK government is also seeking to ensure that civil service culture supports the proper use of information. Strategies include:
• mandatory training for those with access to protected personal information or involved in managing it, with more than 300,000 civil servants dealing with personal data undertaking mandatory annual training
• new action to make clear that any failure to apply protective measures is a serious matter potentially leading to dismissal, including new sanctions under the Data Protection Act for the most serious breaches of its principles
• data security roles within departments have been standardised and enhanced to ensure clear lines of responsibility.
Recommendations The Department of Premier and Cabinet should ensure:
• existing lines of accountability through Directors General and Chief Executive Officers are used to improve information handling, with them signing off on the adequacy of security systems, and information security to be included in their performance agreements
• mandatory training is provided to those with access to sensitive personal information or involved in managing it
• action is taken to make clear that any failure to apply protective measures is a serious matter which could lead to disciplinary action
• professional certification is required for staff or contractors working in roles with technical information security content
Enhanced scrutiny
Since a critical performance audit in 2009, the Victorian Department of Treasury and Finance has enhanced scrutiny of agency compliance with electronic information security policies and standards.
Its 2010 Reporting calendar for information security, including access management, illustrates their approach.
Exhibit 11: Victoria’s 2010 Reporting calendar - Information security
Due Standard Requirement Template
June Identity and access management Plan for compliance with Identity
Access Management standards WoVG Security reporting
June Information security Planned program of work for compliance with Penetration Testing standard WoVG Security reporting
June Information security Plan for compliance with Portable Storage Devices standard WoVG Security reporting
Nov Identity and access management Report progress against plan of compliance with Identity Access Management standards WoVG Security reporting
Nov Information security Report progress against plan of compliance with Management Framework standard Compliance report information security
Nov Information security Report security-classified systems annually System operational description information security
Nov Information security Reporting of all penetration testing annually Penetration testing compliance reporting
Nov Information security Report progress against plan of compliance for Portable Storage Devices annually WoVG Security reporting template
Source: Victorian Department of Treasury and Finance, 2010
Queensland has a system of self assessment, reporting and auditing.
Exhibit 12: Queensland Information Security Standards compliance regime
Queensland public sector agencies are required to meet Information Standard 18 (IS18). The authority for IS18 comes from a Cabinet mandate. IS18 is closely aligned to ISO27001 but is specifically tailored to the needs of the Queensland Government. An example of this is the Queensland Government Information Security Classification Framework.
Agencies self-assess compliance against the mandatory requirements of IS18 annually and provide the results to the Government Chief Information Officer and an Information Security Committee comprising agency CIO‟s or their proxies. Non-compliance may also picked up via audits against IS18 by the Queensland Audit Office.
Source: Qld ICT Policy & Coordination Office, 2010
The UK Government claims that at the centre of government, the governance of information assurance has been improved and strengthened with enhanced oversight now in place at ministerial and senior official levels. It has adopted a number of strategies to increase scrutiny of performance, to build confidence, and ensure that lessons are learned and shared:
• departments report annually on their performance in handling information risk
• the Information Commissioner conducts spot checks of agencies
• the National Audit Office audits the Statement on Internal Control, which includes controls over personal data
• Cabinet Office reports annually to Parliament on the issue as a whole.
Recommendations The Department of Premier and Cabinet should ensure:
• visibility of performance is increased, with agencies publishing material in their annual reports, and report to Parliament annually on information security across government
• there is truly independent monitoring of compliance, through audit and technical testing to a defined standard
• agencies report breaches or near misses to an independent organisation responsible for capturing incidents, ensuring investigations are conducted, and lessons are learned.
A common approach to introduce stronger accountability mechanisms is to make the heads of agencies clearly responsible for meeting minimum standards and adequately protecting sensitive personal information.
To illustrate, the UK Government is using the existing line of accountability through Accounting Officers to Parliament as a way to improve information handling; recognising that the individual Department or agency is best placed to understand and address risks to their information, including personal data.
The UK government is also seeking to ensure that civil service culture supports the proper use of information. Strategies include:
• mandatory training for those with access to protected personal information or involved in managing it, with more than 300,000 civil servants dealing with personal data undertaking mandatory annual training
• new action to make clear that any failure to apply protective measures is a serious matter potentially leading to dismissal, including new sanctions under the Data Protection Act for the most serious breaches of its principles
• data security roles within departments have been standardised and enhanced to ensure clear lines of responsibility.
Recommendations The Department of Premier and Cabinet should ensure:
• existing lines of accountability through Directors General and Chief Executive Officers are used to improve information handling, with them signing off on the adequacy of security systems, and information security to be included in their performance agreements
• mandatory training is provided to those with access to sensitive personal information or involved in managing it
• action is taken to make clear that any failure to apply protective measures is a serious matter which could lead to disciplinary action
• professional certification is required for staff or contractors working in roles with technical information security content
Enhanced scrutiny
Since a critical performance audit in 2009, the Victorian Department of Treasury and Finance has enhanced scrutiny of agency compliance with electronic information security policies and standards.
Its 2010 Reporting calendar for information security, including access management, illustrates their approach.
Exhibit 11: Victoria’s 2010 Reporting calendar - Information security
Due Standard Requirement Template
June Identity and access management Plan for compliance with Identity
Access Management standards WoVG Security reporting
June Information security Planned program of work for compliance with Penetration Testing standard WoVG Security reporting
June Information security Plan for compliance with Portable Storage Devices standard WoVG Security reporting
Nov Identity and access management Report progress against plan of compliance with Identity Access Management standards WoVG Security reporting
Nov Information security Report progress against plan of compliance with Management Framework standard Compliance report information security
Nov Information security Report security-classified systems annually System operational description information security
Nov Information security Reporting of all penetration testing annually Penetration testing compliance reporting
Nov Information security Report progress against plan of compliance for Portable Storage Devices annually WoVG Security reporting template
Source: Victorian Department of Treasury and Finance, 2010
Queensland has a system of self assessment, reporting and auditing.
Exhibit 12: Queensland Information Security Standards compliance regime
Queensland public sector agencies are required to meet Information Standard 18 (IS18). The authority for IS18 comes from a Cabinet mandate. IS18 is closely aligned to ISO27001 but is specifically tailored to the needs of the Queensland Government. An example of this is the Queensland Government Information Security Classification Framework.
Agencies self-assess compliance against the mandatory requirements of IS18 annually and provide the results to the Government Chief Information Officer and an Information Security Committee comprising agency CIO‟s or their proxies. Non-compliance may also picked up via audits against IS18 by the Queensland Audit Office.
Source: Qld ICT Policy & Coordination Office, 2010
The UK Government claims that at the centre of government, the governance of information assurance has been improved and strengthened with enhanced oversight now in place at ministerial and senior official levels. It has adopted a number of strategies to increase scrutiny of performance, to build confidence, and ensure that lessons are learned and shared:
• departments report annually on their performance in handling information risk
• the Information Commissioner conducts spot checks of agencies
• the National Audit Office audits the Statement on Internal Control, which includes controls over personal data
• Cabinet Office reports annually to Parliament on the issue as a whole.
Recommendations The Department of Premier and Cabinet should ensure:
• visibility of performance is increased, with agencies publishing material in their annual reports, and report to Parliament annually on information security across government
• there is truly independent monitoring of compliance, through audit and technical testing to a defined standard
• agencies report breaches or near misses to an independent organisation responsible for capturing incidents, ensuring investigations are conducted, and lessons are learned.
0/5000
Tăng cường trách nhiệm Một phương pháp phổ biến để giới thiệu cơ chế trách nhiệm mạnh mẽ hơn là làm cho người đứng đầu của các cơ quan rõ ràng chịu trách nhiệm về cuộc họp tối thiểu tiêu chuẩn và đầy đủ bảo vệ thông tin cá nhân nhạy cảm.Để minh họa, chính phủ Anh đang sử dụng dòng hiện có trách nhiệm thông qua nhân viên kế toán để nghị viện như một cách để cải thiện thông tin xử lý; nhận ra rằng các vùng cá nhân hoặc cơ quan là tốt nhất đặt để hiểu và giải quyết các rủi ro đối với thông tin của họ, bao gồm cả dữ liệu cá nhân.Chính phủ Anh cũng đang tìm kiếm để đảm bảo rằng văn hóa dịch vụ dân sự hỗ trợ thích hợp sử dụng thông tin. Chiến lược bao gồm:• bắt buộc đào tạo cho những người có quyền truy cập để bảo vệ thông tin cá nhân hoặc tham gia trong việc quản lý nó, với hơn 300.000 công chức làm việc với dữ liệu cá nhân cam kết bắt buộc hàng năm đào tạo• hành động mới để làm cho rõ ràng rằng bất kỳ sai lầm để áp dụng các biện pháp bảo vệ là một vấn đề nghiêm trọng có khả năng dẫn đến sa thải, bao gồm các biện pháp trừng phạt mới theo đạo luật bảo vệ dữ liệu cho vi phạm nghiêm trọng nhất của nguyên tắc của nó• vai trò bảo mật dữ liệu trong bộ phận đã được tiêu chuẩn hóa và nâng cao để đảm bảo dòng rõ ràng trách nhiệm. Khuyến nghị The vùng của Premier và nội phải đảm bảo:• dòng hiện có trách nhiệm thông qua tổng giám đốc và giám đốc điều hành sĩ quan được sử dụng để cải thiện thông tin, xử lý, với họ ký vào tính đầy đủ của hệ thống an ninh và bảo mật thông tin để được bao gồm trong Hiệp định hiệu suất của họ• đào tạo bắt buộc cung cấp cho những người có quyền truy cập vào thông tin cá nhân nhạy cảm hoặc tham gia vào quản lý CNTT• hành động được thực hiện để làm cho rõ ràng rằng bất kỳ sai lầm để áp dụng các biện pháp bảo vệ là một vấn đề nghiêm trọng mà có thể dẫn đến hành động kỷ luật• chứng nhận chuyên nghiệp là cần thiết cho nhân viên hay nhà thầu làm việc trong vai trò với nội dung bảo mật kỹ thuật thông tin Nâng cao giám sát Kể từ khi một kiểm toán quan trọng thực hiện trong năm 2009, Victoria sở tài chính và tài chính đã tăng cường giám sát của cơ quan phù hợp với chính sách bảo mật thông tin điện tử và các tiêu chuẩn.Của nó lịch 2010 báo cáo cho bảo mật thông tin, bao gồm cả quản lý truy cập, minh hoạ cách tiếp cận của họ. Triển lãm 11: Victoria 2010 báo cáo lịch - bảo mật thông tinDo tiêu chuẩn yêu cầu mẫuJune Identity và quản lý truy cập kế hoạch cho phù hợp với danh tínhTruy cập vào quản lý tiêu chuẩn WoVG an ninh báo cáoTháng Sáu thông tin bảo mật đã lên kế hoạch chương trình làm việc cho phù hợp với thâm nhập thử nghiệm báo cáo bảo mật WoVG tiêu chuẩnBảo mật thông tin ngày kế hoạch cho phù hợp với thiết bị lưu trữ di động tiêu chuẩn WoVG an ninh báo cáoTháng mười một nhận dạng và truy cập quản lý báo cáo tiến độ chống lại kế hoạch của phù hợp với quản lý truy cập nhận dạng tiêu chuẩn WoVG an ninh báo cáoTháng mười một thông tin an ninh báo cáo tiến độ chống lại kế hoạch của phù hợp với khuôn khổ quản lý tiêu chuẩn tuân thủ báo cáo bảo mật thông tinTháng mười một thông tin an ninh báo cáo bảo mật phân loại hệ thống hàng năm hệ thống hoạt động mô tả bảo mật thông tinBảo mật thông tin tháng mười một báo cáo của tất cả thâm nhập thử nghiệm hàng năm thâm nhập thử nghiệm phù hợp báo cáoTháng mười một thông tin an ninh báo cáo tiến độ chống lại kế hoạch của tuân thủ cho thiết bị lưu trữ di động hàng năm WoVG Security báo cáo mẫuNguồn: Victoria sở tài chính và tài chính, năm 2010Queensland có một hệ thống tự đánh giá, báo cáo và kiểm toán.Triển lãm 12: Queensland thông tin bảo mật tiêu chuẩn tuân thủ chế độCác cơ quan khu vực Queensland được yêu cầu để đáp ứng thông tin tiêu chuẩn 18 (IS18). Cơ quan cho IS18 xuất phát từ một ủy nhiệm nội các. IS18 liên kết chặt chẽ để ISO27001 nhưng cụ thể phù hợp với nhu cầu của chính phủ tiểu bang. Một ví dụ này là khung phân loại Queensland chính phủ thông tin bảo mật.Các cơ quan tự đánh giá việc tuân thủ chống lại các yêu cầu bắt buộc của IS18 hàng năm và cung cấp các kết quả cho nhân viên thông tin trưởng của chính phủ và một ủy ban an ninh thông tin bao gồm cơ quan CIO‟s hoặc proxy của họ. Phòng không tuân thủ cũng có thể chọn thông qua kiểm tra chống lại IS18 của văn phòng kiểm toán Queensland.Nguồn: Chính sách Qld ICT & văn phòng điều phối, 2010 The UK Government claims that at the centre of government, the governance of information assurance has been improved and strengthened with enhanced oversight now in place at ministerial and senior official levels. It has adopted a number of strategies to increase scrutiny of performance, to build confidence, and ensure that lessons are learned and shared:• departments report annually on their performance in handling information risk• the Information Commissioner conducts spot checks of agencies• the National Audit Office audits the Statement on Internal Control, which includes controls over personal data• Cabinet Office reports annually to Parliament on the issue as a whole.Recommendations The Department of Premier and Cabinet should ensure:• visibility of performance is increased, with agencies publishing material in their annual reports, and report to Parliament annually on information security across government• there is truly independent monitoring of compliance, through audit and technical testing to a defined standard• agencies report breaches or near misses to an independent organisation responsible for capturing incidents, ensuring investigations are conducted, and lessons are learned.
đang được dịch, vui lòng đợi..
Tăng cường trách nhiệm Một phương pháp phổ biến để giới thiệu cơ chế trách nhiệm mạnh mẽ hơn là làm cho người đứng đầu cơ quan rõ ràng trách nhiệm đáp ứng các tiêu chuẩn tối thiểu và đầy đủ bảo vệ thông tin cá nhân nhạy cảm. Để minh họa, Chính phủ Anh đang sử dụng các dòng hiện có trách nhiệm thông qua Cán bộ kế toán để Quốc hội như một cách để cải thiện xử lý thông tin; công nhận rằng cá nhân Bộ hoặc cơ quan được đặt tốt nhất để hiểu và rủi ro địa chỉ thông tin của họ, bao gồm cả dữ liệu cá nhân. Chính phủ Anh cũng đang tìm cách đảm bảo rằng văn hóa công vụ hỗ trợ việc sử dụng đúng đắn của thông tin. Chiến lược bao gồm: • đào tạo bắt buộc đối với những người có quyền truy cập vào thông tin cá nhân được bảo hộ hoặc tham gia vào việc quản lý nó, với hơn 300.000 công chức làm việc với dữ liệu cá nhân tiến hành đào tạo bắt buộc hàng năm • hành động mới để làm cho rõ ràng rằng bất kỳ sự thất bại để áp dụng các biện pháp bảo vệ là một nghiêm trọng vấn đề có khả năng dẫn đến sa thải, trong đó có biện pháp trừng phạt mới theo Đạo Luật Bảo vệ dữ liệu cho các hành vi vi phạm nghiêm trọng nhất của nguyên tắc của nó • vai trò bảo mật dữ liệu trong các cơ quan đã được chuẩn hóa và nâng cao để đảm bảo dòng rõ ràng về trách nhiệm. Khuyến nghị Sở Premier và Nội phải đảm bảo: • Dây chuyền hiện có trách nhiệm thông qua Tổng giám đốc và Giám đốc điều hành Sĩ quan được sử dụng để cải thiện xử lý, với họ ký tắt về tính đầy đủ của các hệ thống an ninh và bảo mật thông tin thông tin để được bao gồm trong thỏa thuận hoạt động của họ • đào tạo bắt buộc được cung cấp cho những người có quyền truy cập vào thông tin cá nhân nhạy cảm hoặc có liên quan trong việc quản lý nó • hành động được thực hiện để làm cho rõ ràng rằng bất kỳ sự thất bại để áp dụng các biện pháp bảo vệ là một vấn đề nghiêm trọng có thể dẫn đến hành động kỷ luật • chứng nhận chuyên môn là cần thiết cho nhân viên hoặc nhà thầu làm việc trong vai trò với nội dung bảo mật thông tin kỹ thuật Enhanced giám sát Kể từ khi một kiểm toán hoạt động quan trọng trong năm 2009, Cục Victorian của Kho bạc và Tài chính đã tăng cường giám sát việc tuân thủ cơ quan với các chính sách và tiêu chuẩn an ninh thông tin điện tử. Nó lịch năm 2010 Báo cáo cho an ninh thông tin, bao gồm cả quản lý truy cập, minh họa của phương pháp tiếp cận. lục 11: Victoria 2010 Báo cáo lịch - Thông tin an ninh Do chuẩn Yêu cầu Template tháng sáu nhận dạng và quản lý truy cập kế hoạch cho phù hợp với bản sắc Truy cập các tiêu chuẩn quản lý WoVG an báo cáo tháng sáu An ninh thông tin chương trình kế hoạch công việc cho phù hợp với Penetration Testing WoVG tiêu chuẩn an ninh báo cáo tháng sáu Kế hoạch an ninh thông tin cho phù hợp với Portable Thiết bị lưu trữ chuẩn WoVG an báo cáo tháng mười một nhận dạng và quản lý truy cập Báo cáo tiến độ so với kế hoạch phù hợp với nhận dạng truy cập các tiêu chuẩn quản lý WoVG an báo cáo tháng mười một báo cáo bảo mật thông tin tiến độ so với kế hoạch phù hợp với Khung Quản lý tuân thủ tiêu chuẩn an ninh thông tin báo cáo Báo cáo An ninh thông tin hệ thống an ninh-phân loại tháng mười một hàng năm Hệ thống bảo mật thông tin mô tả hoạt động tháng mười một báo cáo bảo mật thông tin của tất cả các thử nghiệm thâm nhập hàng năm phù Thâm nhập thử nghiệm báo cáo tháng mười một báo cáo bảo mật thông tin tiến độ so với kế hoạch tuân thủ cho Portable Thiết bị lưu trữ hàng năm WoVG an báo cáo mẫu Nguồn: Victoria Bộ Ngân khố và Tài chính, 2010 Queensland có một hệ thống tự đánh giá, báo cáo và kiểm toán. Exhibit 12: Tiêu chuẩn bảo mật thông tin Queensland chế độ tuân thủ các cơ quan khu vực công Queensland được yêu cầu phải đáp ứng Thông tin Tiêu chuẩn 18 (IS18). Thẩm quyền cho IS18 xuất phát từ một nhiệm Nội các. IS18 được liên kết chặt chẽ ISO27001 nhưng được thiết kế đặc biệt cho nhu cầu của Chính phủ Queensland. Một ví dụ của việc này là các loại khung Queensland bảo mật thông tin của Chính phủ. Các cơ quan tự đánh giá việc tuân thủ theo các yêu cầu bắt buộc của IS18 hàng năm và cung cấp kết quả cho Giám đốc Thông tin Chính phủ và Ủy ban An ninh Thông tin cơ quan bao gồm các CIO "s hoặc proxy của họ. Không tuân thủ cũng có thể chọn qua các cuộc kiểm toán đối với IS18 do Văn phòng Kiểm toán Queensland. Nguồn: Qld ICT Chính sách & Văn phòng điều phối, 2010 Chính phủ Anh tuyên bố rằng tại trung tâm hành chính, quản trị đảm bảo thông tin đã được cải thiện và tăng cường chức năng tăng giám sát doanh nghiệp tại chỗ ở cấp Bộ, cấp quan chức cấp cao. Nó đã thông qua một số chiến lược để tăng sự giám sát hiệu suất, để xây dựng sự tự tin, và đảm bảo rằng các bài học được học hỏi và chia sẻ: • phòng ban báo cáo hàng năm về hoạt động của họ trong việc xử lý rủi ro thông tin • Ủy viên Thông tin tiến hành điều tra tại các cơ quan • Kiểm toán Quốc gia Văn phòng kiểm toán Báo cáo về kiểm soát nội bộ, trong đó bao gồm kiểm soát đối với dữ liệu cá nhân • Văn phòng Nội các báo cáo hàng năm cho Quốc hội về các vấn đề như một toàn thể. Khuyến nghị Sở Premier và Nội cần đảm bảo: • khả năng hiển thị của hiệu suất được tăng lên, với các cơ quan xuất bản các tài liệu trong báo cáo hàng năm của họ, và báo cáo với Quốc hội hàng năm về an ninh thông tin trong chính phủ • có giám sát độc lập thực sự tuân thủ, thông qua kiểm toán và thử nghiệm kỹ thuật để xác định một tiêu chuẩn cơ quan • Báo cáo vi phạm hoặc gần lệch một tổ chức độc lập chịu trách nhiệm cho việc chụp những sự cố, đảm bảo điều tra được tiến hành, và bài học được học.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- bây giờ tôi phải làm gì
- whine
- i am patient, loving and kind i know tha
- it is not what i expected
- Card 9: Describe a trip you would like t
- nhà máy nhiệt điện
- Make supper
- vice director
- Nhà quảng cáo của bạn đến từ yeahmobi
- bỏ đi
- 費用対効果
- kì nghỉ hè tuyệt nhất tôi từng trải qua
- Cotton has been grown for over five thou
- issue habitats merely participating appr
- tôi nghĩ giáo viên là một nghề nghiệp th
- tòa tháp
- instant gratification
- There is a temporary (short)…………………….of
- trên phương diện quốc tế,người ta thường
- To giude for Steam Penetration Test
- issue habitats merely participating appr
- Multipurpose Design Brings a Room to Lif
- We have partnered with companies such as
- Note down
