Làm thế nào để bạn lựa chọn trong số các khuôn khổ chính sách an ninh CNTT nhiều thăng chức của các cơ quan chính phủ, các tập đoàn, và nhiều người khác? Không có câu trả lời đơn giản. Sự lựa chọn của bạn sẽ phụ thuộc vào ngành công nghiệp của bạn cũng như xem quản lý của bạn và bất kỳ sự thiên vị trong tổ chức của bạn. Bạn nên tập trung vào việc lựa chọn các tiêu chuẩn được chấp nhận rộng rãi. Điều này đảm bảo sự chấp nhận một điều về cách tiếp cận quản lý rủi ro. Ngoài ra, bạn sẽ tìm thấy các nguồn lực sẵn có để hỗ trợ các tiêu chuẩn được chấp nhận. Hình 8-1 mô tả một mô hình miền khuôn khổ đơn giản. Chú ý rằng một phần đáng kể được dành riêng cho việc quản trị và quản lý rủi ro. Điều này thiết lập các nguyên tắc quản lý rủi ro và sự hiểu biết kinh doanh là một năng lực cốt lõi khuôn khổ toàn diện hơn nhận ra rằng hiệu quả của các điều khiển dựa trên sự hiểu biết về các quy trình kinh doanh. Hiểu quá trình kinh doanh cho phép bạn xác định tốt hơn các rủi ro và thiết kế kiểm soát hiệu quả.
182 bước đầu tiên là xác định phạm vi bảo hiểm cho khuôn khổ của bạn. Sau đó, bạn có thể sử dụng nó như một bộ lọc để làm cho tinh thần của các khuôn khổ khác nhau để lựa chọn. Ngay cả một mô hình miền khuôn khổ đơn giản có thể giúp bạn nhận ra lĩnh vực then chốt của tổ chức của bạn quan tâm. Bạn có thể tạo ra một khuôn khổ trong đó đề cập những điểm yếu và sắp xếp cụ thể để yêu cầu kinh doanh của bạn. Một khi bạn hiểu được những yêu cầu này, bạn có thể sử dụng các bước sau đây để chọn các khung ngành công nghiệp để xem xét: 1. yêu cầu quy định ngành công nghiệp đánh giá. Ví dụ, một cơ quan chính phủ yêu cầu thực hiện Luật Quản lý an ninh thông tin liên bang năm 2002 (FISMA), 2. Nhìn cho kiểm toán viên và nhà quản lý của bạn để được hướng dẫn Ví dụ, các công ty kiểm toán lớn bên ngoài có thể đã được thông qua Ủy ban của các tổ chức tài trợ (Coso) và kiểm soát mục tiêu cho công nghệ thông tin và liên quan (COBIT) như là một phần của thử nghiệm kiểm soát của họ. Chọn khuôn khổ mà tôi đã duy trì ủng hộ rộng rãi trong ngành công nghiệp thời gian. Đây là những khuôn khổ mà có thể được coi là thực hành tốt nhất ngành công nghiệp, tìm ra các khuôn khổ được sử dụng bởi các tổ chức đồng đẳng. Điều này có thể xác nhận cách tiếp cận của bạn. Nhiều ngành công nghiệp có xu hướng chia sẻ cùng nguy cơ và tận dụng các mô hình tương tự. Bảng 8 là một mẫu của các khuôn khổ chính sách bảo mật. Đây là những khuôn khổ thực hành tốt nhất. Đây không phải là một danh sách toàn diện, vì có những khuôn khổ sử dụng nhiều khác bao gồm cả khung ngành công nghiệp cụ thể. Các khung trong Bảng 8-1 đại diện cho phương pháp tiếp cận khung áp dụng rộng rãi khác nhau. Ngay cả danh sách ngắn của các khuôn khổ chính sách an ninh hiện trong Bảng 8-1 cung cấp một mảng rộng các phương pháp tiếp cận và lựa chọn. Tổ chức thường xuyên kết hợp các khuôn khổ để vẽ theo từng điểm mạnh của họ
đang được dịch, vui lòng đợi..