- Văn bản
- Lịch sử
PROCESS DESCRIPTION- DS5 Ensure Sys
PROCESS DESCRIPTION
- DS5 Ensure Systems Security
The need to maintain the integrity of information and protect INFORMATION TECHNOLOGY assets requires a security management process. This process includes establishing and maintaining INFORMATION TECHNOLOGY security roles and responsibilties, policies, standards, and procedures. Security management also includes performing security monitoring and periodic testing and implementing corrective actions for identified security weaknesses or incidents. Effective security management protects all information technology assets to minimise the business impact of security vulnerabilities and incidents.
Control over the information technology process of
Ensure systems security
that satisfies the business requirement for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents by focusing on defining information technology security policies, plans and procedures, and monitoring, detecting, reporting and resolving security vulnerabilities and incidents is achieved by
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Testing security regularly
and is measured by
• Number of incidents damaging the organisation’s reputation with
the public
• Number of systems where security requirements are not met
• Number of violations in segregation of duties
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Reliability
P P S S S
People
Information
Applications
Infrastructure
STRATEGIC
ALIGNMENT
PERFORMANCE
MEASUREMENT
VALUE
DELIVERY
RISK
MANAGEMENT
RESOURCE
MANAGEMENT
IT GOVERNANCE
Primary Secondary
Deliver and Support
Ensure Systems CONTROL OBJECTIVES
DS5.1 Management of information technology Security
Manage information technology security at the highest appropriate organisational level, so the management of security actions is in line with business requirements.
DS5.2 information technology Security Plan
Translate business, risk and compliance requirements into an overall information technology security plan, taking into consideration the information technology infrastructure and the security culture. Ensure that the plan is implemented in security policies and procedures together with appropriate investments in services, personnel, software and hardware. Communicate security policies and procedures to stakeholders and users.
DS5.3 Identity Management
Ensure that all users (internal, external and temporary) and their activity on information technology systems (business application, information technology environment,system operations, development and maintenance) are uniquely identifiable. Enable user identities via authentication mechanisms.
Confirm that user access rights to systems and data are in line with defined and documented business needs and that job requirements are attached to user identities. Ensure that user access rights are requested by user management, approved by system owners and implemented by the security-responsible person. Maintain user identities and access rights in a central repository.
Deploy cost-effective technical and procedural measures, and keep them current to establish user identification, implement authentication and enforce access rights.
DS5.4 User Account Management
Address requesting, establishing, issuing, suspending, modifying and closing user accounts and related user privileges with a set of user account management procedures. Include an approval procedure outlining the data or system owner granting the access privileges. These procedures should apply for all users, including administrators (privileged users) and internal and external users,for normal and emergency cases. Rights and obligations relative to access to enterprise systems and information should be contractually arranged for all types of users. Perform regular management review of all accounts and related privileges.
DS5.5 Security Testing, Surveillance and Monitoring
Test and monitor the information technology security implementation in a proactive way. information technology security should be reaccredited in a timely manner to ensure that the approved enterprise’s information security baseline is maintained. A logging and monitoring function will enable the early prevention and/or detection and subsequent timely reporting of unusual and/or abnormal activities that may need to be addressed.
DS5.6 Security Incident Definition
Clearly define and communicate the characteristics of potential security incidents so they can be properly classified and treated by the incident and problem management process.
DS5.7 Protection of Security Technology
Make security-related technology resistant to tampering, and do not disclose security documentation unnecessarily.
DS5.8 Cryptographic Key Management
Determine that policies and procedures are in place to organise the generation, change, revocation, destruction, distribution,certification, storage, entry, use and archiving of cryptographic keys to ensure the protection of keys against modification and unauthorised disclosure.
DS5.9 Malicious Software Prevention, Detection and Correction
Put preventive, detective and corrective measures in place (especially up-to-date security patches and virus control) across the organisation to protect information systems and technology from malware (e.g., viruses, worms, spyware, spam).
DS5.10 Network Security
Use security techniques and related management procedures (e.g., firewalls, security appliances, network segmentation, intrusion detection) to authorise access and control information flows from and to networks.
DS5.11 Exchange of Sensitive Data
Exchange sensitive transaction data only over a trusted path or medium with controls to provide authenticity of content, proof of submission, proof of receipt and non-repudiation of origin.
MANAGEMENT GUIDELINES
From Inputs
PO2 Information architecture; assigned data classifications
PO3 Technology standards
PO9 Risk assessment
AI2 Application security controls specification
DS1 OLAs
Outputs To
Security incident definition DS8
Specific training requirements on security awareness DS7
Process performance reports ME1
Required security changes AI6
Security threats and vulnerabilities PO9
IT security plan and policies DS11
RACI Chart Functions
CEO
CFO
Business Executive
CIO
Business Process Owner
Head Operations
Chief Architect
Head Development
Head information technology Administration
PMO
Compliance, Audit,
Risk and Security
Activities
Define and maintain an information technology security plan. I C C A C C C C I I R
Define, establish and operate an identity (account) management process. I A C R R I C
Monitor potential and actual security incidents. A I R C C R
Periodically review and validate user access rights and privileges. I A C R
Establish and maintain procedures for maintaining and safeguarding cryptographic keys. A R I C
Implement and maintain technical and procedural controls to protect information
flows across networks. A C C R R C
Conduct regular vulnerability assessments. I A I C C C R
A RACI chart identifies who is Responsible, Accountable, Consulted and/or Informed.
Goals and Metrics
• Ensure that critical and confidential information is withheld from those who should not have access to it.
• Ensure that automated business transactions and information exchanges can be trusted.
• Maintain the integrity of information and processing infrastructure.
• Account for and protect all information technology assets.
• Ensure that information technology services and infrastructure can resist and recover from failures due to error, deliberate attack or disaster.Process
• Permit access to critical and sensitive data only to authorised users.
• Identify, monitor and report security vulnerabilities and incidents.
• Detect and resolve unauthorised access to information, applications and infrastructure.
• Minimise the impact of security vulnerabilities and incidents.
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Defining security incidents
• Testing security regularly
• Number of incidents with business impact
• Number of systems where security requirements are not met
• Time to grant, change and remove access privileges
• Number and type of suspected and actual access violations
• Number of violations in segregation of duties
• Percent of users who do not comply with password standards
• Number and type of malicious code preventedctivities
• Frequency and review of the type of security events to be monitored
• Number and type of obsolete accounts
• Number of unauthorised IP addresses, ports and traffic types denied
• Percent of cryptographic keys compromised and revoked
• Number of access rights authorised, revoked, reset or changed
MATURITY MODEL
Management of the process of Ensure systems security that satisfies the business requirements for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents is:
0 Non-existent when
The organisation does not recognise the need for information technology security. Responsibilities and accountabilities are not assigned for ensuring security. Measures supporting the management of information technology security are not implemented. There is no information technology security reporting and no response process for information technology security breaches. There is a complete lack of a recognisable system security administration process.
1 Initial/Ad Hoc when
The organisation recognises the need for information technology security. Awareness of the need for security depends primarily on the individual. information technology security is addressed on a reactive basis. information te
- DS5 Ensure Systems Security
The need to maintain the integrity of information and protect INFORMATION TECHNOLOGY assets requires a security management process. This process includes establishing and maintaining INFORMATION TECHNOLOGY security roles and responsibilties, policies, standards, and procedures. Security management also includes performing security monitoring and periodic testing and implementing corrective actions for identified security weaknesses or incidents. Effective security management protects all information technology assets to minimise the business impact of security vulnerabilities and incidents.
Control over the information technology process of
Ensure systems security
that satisfies the business requirement for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents by focusing on defining information technology security policies, plans and procedures, and monitoring, detecting, reporting and resolving security vulnerabilities and incidents is achieved by
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Testing security regularly
and is measured by
• Number of incidents damaging the organisation’s reputation with
the public
• Number of systems where security requirements are not met
• Number of violations in segregation of duties
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Reliability
P P S S S
People
Information
Applications
Infrastructure
STRATEGIC
ALIGNMENT
PERFORMANCE
MEASUREMENT
VALUE
DELIVERY
RISK
MANAGEMENT
RESOURCE
MANAGEMENT
IT GOVERNANCE
Primary Secondary
Deliver and Support
Ensure Systems CONTROL OBJECTIVES
DS5.1 Management of information technology Security
Manage information technology security at the highest appropriate organisational level, so the management of security actions is in line with business requirements.
DS5.2 information technology Security Plan
Translate business, risk and compliance requirements into an overall information technology security plan, taking into consideration the information technology infrastructure and the security culture. Ensure that the plan is implemented in security policies and procedures together with appropriate investments in services, personnel, software and hardware. Communicate security policies and procedures to stakeholders and users.
DS5.3 Identity Management
Ensure that all users (internal, external and temporary) and their activity on information technology systems (business application, information technology environment,system operations, development and maintenance) are uniquely identifiable. Enable user identities via authentication mechanisms.
Confirm that user access rights to systems and data are in line with defined and documented business needs and that job requirements are attached to user identities. Ensure that user access rights are requested by user management, approved by system owners and implemented by the security-responsible person. Maintain user identities and access rights in a central repository.
Deploy cost-effective technical and procedural measures, and keep them current to establish user identification, implement authentication and enforce access rights.
DS5.4 User Account Management
Address requesting, establishing, issuing, suspending, modifying and closing user accounts and related user privileges with a set of user account management procedures. Include an approval procedure outlining the data or system owner granting the access privileges. These procedures should apply for all users, including administrators (privileged users) and internal and external users,for normal and emergency cases. Rights and obligations relative to access to enterprise systems and information should be contractually arranged for all types of users. Perform regular management review of all accounts and related privileges.
DS5.5 Security Testing, Surveillance and Monitoring
Test and monitor the information technology security implementation in a proactive way. information technology security should be reaccredited in a timely manner to ensure that the approved enterprise’s information security baseline is maintained. A logging and monitoring function will enable the early prevention and/or detection and subsequent timely reporting of unusual and/or abnormal activities that may need to be addressed.
DS5.6 Security Incident Definition
Clearly define and communicate the characteristics of potential security incidents so they can be properly classified and treated by the incident and problem management process.
DS5.7 Protection of Security Technology
Make security-related technology resistant to tampering, and do not disclose security documentation unnecessarily.
DS5.8 Cryptographic Key Management
Determine that policies and procedures are in place to organise the generation, change, revocation, destruction, distribution,certification, storage, entry, use and archiving of cryptographic keys to ensure the protection of keys against modification and unauthorised disclosure.
DS5.9 Malicious Software Prevention, Detection and Correction
Put preventive, detective and corrective measures in place (especially up-to-date security patches and virus control) across the organisation to protect information systems and technology from malware (e.g., viruses, worms, spyware, spam).
DS5.10 Network Security
Use security techniques and related management procedures (e.g., firewalls, security appliances, network segmentation, intrusion detection) to authorise access and control information flows from and to networks.
DS5.11 Exchange of Sensitive Data
Exchange sensitive transaction data only over a trusted path or medium with controls to provide authenticity of content, proof of submission, proof of receipt and non-repudiation of origin.
MANAGEMENT GUIDELINES
From Inputs
PO2 Information architecture; assigned data classifications
PO3 Technology standards
PO9 Risk assessment
AI2 Application security controls specification
DS1 OLAs
Outputs To
Security incident definition DS8
Specific training requirements on security awareness DS7
Process performance reports ME1
Required security changes AI6
Security threats and vulnerabilities PO9
IT security plan and policies DS11
RACI Chart Functions
CEO
CFO
Business Executive
CIO
Business Process Owner
Head Operations
Chief Architect
Head Development
Head information technology Administration
PMO
Compliance, Audit,
Risk and Security
Activities
Define and maintain an information technology security plan. I C C A C C C C I I R
Define, establish and operate an identity (account) management process. I A C R R I C
Monitor potential and actual security incidents. A I R C C R
Periodically review and validate user access rights and privileges. I A C R
Establish and maintain procedures for maintaining and safeguarding cryptographic keys. A R I C
Implement and maintain technical and procedural controls to protect information
flows across networks. A C C R R C
Conduct regular vulnerability assessments. I A I C C C R
A RACI chart identifies who is Responsible, Accountable, Consulted and/or Informed.
Goals and Metrics
• Ensure that critical and confidential information is withheld from those who should not have access to it.
• Ensure that automated business transactions and information exchanges can be trusted.
• Maintain the integrity of information and processing infrastructure.
• Account for and protect all information technology assets.
• Ensure that information technology services and infrastructure can resist and recover from failures due to error, deliberate attack or disaster.Process
• Permit access to critical and sensitive data only to authorised users.
• Identify, monitor and report security vulnerabilities and incidents.
• Detect and resolve unauthorised access to information, applications and infrastructure.
• Minimise the impact of security vulnerabilities and incidents.
• Understanding security requirements, vulnerabilities and threats
• Managing user identities and authorisations in a standardised manner
• Defining security incidents
• Testing security regularly
• Number of incidents with business impact
• Number of systems where security requirements are not met
• Time to grant, change and remove access privileges
• Number and type of suspected and actual access violations
• Number of violations in segregation of duties
• Percent of users who do not comply with password standards
• Number and type of malicious code preventedctivities
• Frequency and review of the type of security events to be monitored
• Number and type of obsolete accounts
• Number of unauthorised IP addresses, ports and traffic types denied
• Percent of cryptographic keys compromised and revoked
• Number of access rights authorised, revoked, reset or changed
MATURITY MODEL
Management of the process of Ensure systems security that satisfies the business requirements for information technology of maintaining the integrity of information and processing infrastructure and minimising the impact of security vulnerabilities and incidents is:
0 Non-existent when
The organisation does not recognise the need for information technology security. Responsibilities and accountabilities are not assigned for ensuring security. Measures supporting the management of information technology security are not implemented. There is no information technology security reporting and no response process for information technology security breaches. There is a complete lack of a recognisable system security administration process.
1 Initial/Ad Hoc when
The organisation recognises the need for information technology security. Awareness of the need for security depends primarily on the individual. information technology security is addressed on a reactive basis. information te
0/5000
MÔ TẢ QUÁ TRÌNH-DS5 Đảm bảo hệ thống an ninhSự cần thiết để duy trì sự toàn vẹn của thông tin và bảo vệ tài sản công nghệ thông tin yêu cầu một quy trình quản lý bảo mật. Quá trình này bao gồm việc thiết lập và duy trì vai trò an ninh công nghệ thông tin và responsibilties, chính sách, tiêu chuẩn, và thủ tục. Quản lý an ninh cũng bao gồm thực hiện giám sát an ninh và định kỳ kiểm tra và thực hiện các hành động sửa sai cho bảo mật được xác định điểm yếu hoặc sự cố. Quản lý hiệu quả an ninh bảo vệ tài sản công nghệ thông tin tất cả để giảm thiểu tác động kinh doanh của các lỗ hổng bảo mật và sự cố.Kiểm soát quá trình công nghệ thông tinĐảm bảo hệ thống an ninhmà đáp ứng yêu cầu kinh doanh cho công nghệ thông tin của việc duy trì sự toàn vẹn của thông tin và xử lý cơ sở hạ tầng và hỗ tác động của các lỗ hổng bảo mật và sự cố bằng cách tập trung vào việc xác định chính sách an ninh công nghệ thông tin, kế hoạch và thủ tục, và giám sát, phát hiện, báo cáo và giải quyết các lỗ hổng bảo mật và sự cố là đạt được bằng• Sự hiểu biết các yêu cầu về an ninh, lỗ hổng và mối đe dọa• Quản lý nhận dạng người dùng và authorisations một cách tiêu chuẩn hóa• Kiểm tra bảo mật thường xuyênvà được đo bằng• Số tai nạn gây thiệt hại danh tiếng của tổ chức với củacông chúng• Số hệ thống nơi mà yêu cầu bảo mật không được đáp ứng• Số lượng các hành vi vi phạm trong sự phân biệt của nhiệm vụHiệu quảHiệu quảBảo mậtTính toàn vẹnTính khả dụngTuân thủĐộ tin cậyP P S S SNgườiThông tinỨng dụngCơ sở hạ tầngCHIẾN LƯỢCLIÊN KẾTHIỆU SUẤTĐO LƯỜNGGIÁ TRỊGIAO HÀNGRỦI ROQUẢN LÝTÀI NGUYÊNQUẢN LÝCNTT QUẢN TRỊTrung học chínhCung cấp và hỗ trợĐảm bảo hệ thống kiểm soát mục tiêuDS5.1 quản lý công nghệ thông tin bảo mậtQuản lý an ninh công nghệ thông tin ở cấp độ cao nhất tổ chức thích hợp, do đó, việc quản lý an ninh hành động phù hợp với yêu cầu kinh doanh.DS5.2 công nghệ thông tin bảo mật kế hoạchDịch kinh doanh, rủi ro và tuân thủ các yêu cầu vào một thông tin công nghệ an ninh kế hoạch tổng thể, cân nhắc cơ sở hạ tầng công nghệ thông tin và văn hóa bảo mật. Đảm bảo rằng kế hoạch được thực hiện trong chính sách bảo mật và các thủ tục cùng với khoản đầu tư thích hợp trong dịch vụ, nhân sự, phần mềm và phần cứng. Giao tiếp bảo mật chính sách và thủ tục để các bên liên quan và người sử dụng.DS5.3 Identity quản lýĐảm bảo rằng tất cả người dùng (nội bộ, bên ngoài và tạm thời) và hoạt động của họ trên hệ thống công nghệ thông tin (ứng dụng kinh doanh, môi trường công nghệ thông tin, Hệ thống hoạt động, phát triển và bảo trì) nhận dạng duy nhất. Cho phép nhận dạng người dùng thông qua cơ chế xác thực.Xác nhận rằng người sử dụng quyền truy cập vào hệ thống và dữ liệu được phù với định nghĩa và tài liệu nhu cầu kinh doanh và yêu cầu công việc được đính kèm để nhận dạng người dùng. Đảm bảo rằng quyền truy cập của người dùng được yêu cầu của quản lý người dùng, phê chuẩn của chủ sở hữu hệ thống và thực hiện bởi những người chịu trách nhiệm bảo mật. Duy trì nhận dạng người dùng và truy cập quyền trong một kho lưu trữ miền trung.Triển khai các biện pháp hiệu quả của kỹ thuật và thủ tục, và giữ chúng hiện hành để thiết lập nhận dạng người dùng, thực hiện xác thực và thực thi quyền truy cập.Quản lý tài khoản người dùng DS5.4Địa chỉ yêu cầu, thiết lập, phát hành, đình chỉ, sửa đổi và đóng tài khoản người dùng và người sử dụng có liên quan đặc quyền với một tập hợp các quy trình quản lý tài khoản người dùng. Bao gồm một thủ tục phê duyệt phác thảo chủ sở hữu dữ liệu hoặc hệ thống cấp quyền truy cập. Các thủ tục này nên áp dụng cho tất cả người dùng, bao gồm cả quản trị viên (đặc quyền người dùng) và người sử dụng nội bộ và bên ngoài, đối với trường hợp bình thường và khẩn cấp. Quyền và nghĩa vụ liên quan đến truy cập vào hệ thống doanh nghiệp và thông tin nên được contractually sắp xếp cho tất cả các loại người dùng. Thực hiện quản lý thường xuyên xem xét tất cả các tài khoản và đặc quyền liên quan.DS5.5 an ninh kiểm tra, giám sát và giám sátKiểm tra và theo dõi thực hiện an ninh công nghệ thông tin trong một cách chủ động. thông tin công nghệ an ninh nên được reaccredited trong một cách kịp thời để đảm bảo rằng doanh nghiệp đã được phê duyệt thông tin bảo mật đường cơ sở được duy trì. Một khai thác gỗ và giám sát chức năng sẽ kích hoạt công tác phòng chống đầu và/hoặc phát hiện và báo cáo kịp thời tiếp theo của hoạt động bất thường và/hoặc bất thường có thể cần phải được giải quyết.DS5.6 an ninh cố định nghĩaRõ ràng xác định và giao tiếp các đặc tính của sự cố an ninh tiềm năng để họ có thể được đúng phân loại và điều trị bằng các sự cố và quá trình quản lý vấn đề.DS5.7 bảo vệ an ninh công nghệLàm cho bảo mật liên quan đến công nghệ chống giả mạo, và không tiết lộ tài liệu an ninh không cần thiết.DS5.8 mật mã quản lý chủ chốtXác định rằng chính sách và thủ tục được thực hiện để tổ chức các thế hệ, thay đổi, thu hồi, phá hủy, phân phối, chứng nhận, lưu trữ, mục nhập, sử dụng và lưu trữ trong các chìa khóa mật mã để đảm bảo bảo vệ phím chống lại các sửa đổi và tiết lộ trái phép.Công tác phòng chống phần mềm độc hại DS5.9, phát hiện và sửa chữaĐặt các biện pháp phòng ngừa, thám tử và khắc phục tại chỗ (đặc biệt là Cập Nhật bảo mật bản vá lỗi và vi-rút kiểm soát) qua tổ chức để bảo vệ hệ thống thông tin và công nghệ từ phần mềm độc hại (ví dụ như, virus, worms, phần mềm gián điệp, thư rác).An ninh mạng DS5.10Sử dụng bảo mật kỹ thuật và quy trình quản lý liên quan (ví dụ như, tường lửa, bảo mật thiết bị, mạng lưới phân khúc, phát hiện xâm nhập) để cho phép tiến hành dòng chảy thông tin truy cập và kiểm soát từ và mạng.DS5.11 trao đổi dữ liệu nhạy cảmTrao đổi dữ liệu nhạy cảm giao dịch chỉ qua một con đường đáng tin cậy hoặc phương tiện truyền thông với các điều khiển để cung cấp tính xác thực của nội dung, giấy tờ chứng minh trình, bằng chứng nhận và phòng không thoái thác của nguồn gốc.HƯỚNG DẪN QUẢN LÝTừ đầu vàoPO2 thông tin kiến trúc; phân loại dữ liệu được chỉ địnhPo3 công nghệ tiêu chuẩnĐánh giá rủi ro PO9Đặc điểm kỹ thuật điều khiển AI2 ứng dụng bảo mậtDS1 OLAsKết quả đầu ra đểĐịnh nghĩa vụ bảo mật DS8Đào tạo cụ thể yêu cầu về an ninh nâng cao nhận thức DS7Báo cáo hiệu suất quá trình ME1Thay đổi yêu cầu an ninh AI6Mối đe dọa an ninh và lỗ hổng PO9NÓ bảo mật kế hoạch và chính sách DS11ĐUA biểu đồ chức năngGIÁM ĐỐC ĐIỀU HÀNHGIÁM ĐỐC TÀI CHÍNHKinh doanhCIOChủ doanh nghiệp quá trìnhHoạt động đầuKiến trúc sư trưởngĐầu phát triểnĐầu công nghệ thông tin quản trịMĂNG XÔNG PMOTuân thủ, kiểm toán,Rủi ro và an ninhHoạt độngXác định và duy trì một kế hoạch an ninh công nghệ thông tin. TÔI C C MỘT C C C C TÔI TÔI RXác định, thiết lập và hoạt động một quy trình quản lý danh tính (tài khoản). TÔI MỘT C R R TÔI CTheo dõi sự cố bảo mật tiềm năng và thực tế. TÔI R C C RĐịnh kỳ xem lại và xác nhận quyền truy cập của người dùng và đặc quyền. TÔI C RThiết lập và duy trì các thủ tục cho việc duy trì và bảo vệ mật mã phím. MỘT R TÔI CThực hiện và duy trì điều khiển kỹ thuật và thủ tục để bảo vệ thông tindòng chảy qua mạng. MỘT C C R R CTiến hành đánh giá thường xuyên dễ bị tổn thương. TÔI A TÔI C C C RMột biểu đồ đua xác định ai là chịu trách nhiệm, Accountable, Consulted và/hoặc thông báo.Mục tiêu và số liệu• * Bảo đảm rằng thông tin quan trọng và bí mật được giữ lại từ những người không nên có quyền truy cập vào nó.• * Bảo đảm rằng giao dịch tự động kinh doanh và trao đổi thông tin có thể được tin cậy.• Duy trì sự toàn vẹn của thông tin và xử lý cơ sở hạ tầng.• Chiếm và bảo vệ tất cả các tài sản công nghệ thông tin.• * Bảo đảm rằng dịch vụ công nghệ thông tin và cơ sở hạ tầng có thể chống lại và phục hồi từ thất bại do lỗi, cố ý tấn công hoặc thảm họa.Quá trình• Giấy phép truy cập vào dữ liệu quan trọng và nhạy cảm chỉ cho người dùng được ủy quyền.• Xác định, an ninh giám sát và báo cáo lỗ hổng và sự cố.• Phát hiện và giải quyết các truy cập trái phép thông tin, ứng dụng và cơ sở hạ tầng.• Giảm thiểu tác động của các lỗ hổng bảo mật và sự cố.• Sự hiểu biết các yêu cầu về an ninh, lỗ hổng và mối đe dọa• Quản lý nhận dạng người dùng và authorisations một cách tiêu chuẩn hóa• Xác định sự cố an ninh• Kiểm tra bảo mật thường xuyên• Số lượng các sự cố với tác động kinh doanh• Số hệ thống nơi mà yêu cầu bảo mật không được đáp ứng• Thời gian ban, thay đổi và loại bỏ quyền truy cập• Số lượng và loại hành vi vi phạm truy cập bị nghi ngờ và thực tế• Số lượng các hành vi vi phạm trong sự phân biệt của nhiệm vụ• Phần trăm của người sử dụng không tuân thủ với các tiêu chuẩn mật khẩu• Số lượng và loại độc hại mã preventedctivities• Tần số và xem xét các loại sự kiện an ninh để được theo dõi• Số lượng và loại tài khoản đã lỗi thời• Số lượng trái phép địa chỉ IP, cảng và các loại lưu lượng truy cập bị từ chối.• Phần trăm của mật mã phím thỏa hiệp và thu hồi• Số quyền truy cập được ủy quyền, thu hồi, đặt lại hoặc thay đổiMÔ HÌNH KỲ HẠN THANH TOÁNQuản lý của quá trình an ninh hệ thống đảm bảo đáp ứng các yêu cầu kinh doanh cho công nghệ thông tin của việc duy trì sự toàn vẹn của thông tin và xử lý cơ sở hạ tầng và hỗ tác động của các lỗ hổng bảo mật và sự cố là:0 phòng không tồn tại khiTổ chức không công nhận sự cần thiết cho an ninh công nghệ thông tin. Trách nhiệm và lựccủa không được chỉ định để đảm bảo an ninh. Các biện pháp hỗ trợ quản lý an ninh công nghệ thông tin không được thực hiện. Có là không có thông tin công nghệ an ninh báo cáo và không có quá trình phản ứng đối với vi phạm an ninh công nghệ thông tin. Đó là một thiếu hoàn toàn của một quy trình công nhận hệ thống quản lý bảo mật.1 ban đầu/quảng cáo Hoc khiTổ chức công nhận sự cần thiết cho an ninh công nghệ thông tin. Nâng cao nhận thức về sự cần thiết cho an ninh phụ thuộc chủ yếu vào các cá nhân. thông tin công nghệ an ninh giải quyết trên một cơ sở phản ứng. thông tin te
đang được dịch, vui lòng đợi..
QUY TRÌNH MÔ TẢ
- DS5 Đảm bảo hệ thống an ninh
Sự cần thiết phải duy trì tính toàn vẹn của thông tin và bảo vệ tài sản NGHỆ THÔNG TIN đòi hỏi một quá trình quản lý an ninh. Quá trình này bao gồm việc thiết lập và duy trì vai trò CÔNG NGHỆ THÔNG TIN an ninh và responsibilties, chính sách, tiêu chuẩn và thủ tục. Quản lý bảo mật cũng bao gồm thực hiện giám sát an ninh và kiểm tra định kỳ và thực hiện các hành động khắc phục những điểm yếu an ninh xác định hoặc sự cố. Quản lý bảo mật hiệu quả bảo vệ tất cả các tài sản công nghệ thông tin để giảm thiểu các tác động kinh doanh của các lỗ hổng bảo mật, sự cố.
Việc kiểm soát các quá trình công nghệ thông tin của
hệ thống Đảm bảo an ninh
đáp ứng các yêu cầu kinh doanh cho công nghệ thông tin trong việc duy trì tính toàn vẹn của thông tin và xử lý cơ sở hạ tầng và giảm thiểu các tác động các lỗ hổng an ninh và sự cố bằng cách tập trung vào việc xác định các chính sách bảo mật công nghệ thông tin, kế hoạch và thủ tục, và giám sát, phát hiện, báo cáo và giải quyết các lỗ hổng bảo mật và cố đạt được bằng cách
• Hiểu yêu cầu bảo mật, lỗ hổng và các mối đe dọa
• Quản lý danh tính người dùng và ủy quyền trong một tiêu chuẩn hóa cách
an toàn • Kiểm tra thường xuyên
và được đo bởi
• Số cố làm thiệt hại uy tín của tổ chức với
các công
• Số lượng các hệ thống mà các yêu cầu bảo mật không được đáp ứng
• Số lượng các vi phạm trong phân công nhiệm vụ
hiệu quả
Hiệu quả
bảo mật
Liêm
Sẵn
Tuân
Độ bền
P QUẢN Primary Secondary Cung cấp và Hỗ trợ Đảm bảo MỤC TIÊU KIỂM SOÁT Systems Management DS5.1 của công nghệ bảo mật thông tin Quản lý bảo mật công nghệ thông tin ở cấp độ tổ chức phù hợp cao nhất, nên việc quản lý các hoạt động bảo vệ phù hợp với yêu cầu kinh doanh. DS5.2 Kế hoạch công nghệ bảo mật thông tin Dịch kinh doanh, rủi ro và tuân thủ các yêu cầu vào một kế hoạch an ninh công nghệ thông tin tổng thể, có tính đến các cơ sở hạ tầng công nghệ thông tin và văn hoá an ninh. Đảm bảo rằng kế hoạch này được thực hiện trong các chính sách và thủ tục an ninh cùng với các khoản đầu tư thích hợp trong dịch vụ, nhân sự, phần mềm và phần cứng. Giao tiếp chính sách và thủ tục an ninh cho các bên liên quan và người sử dụng. DS5.3 Identity Management Đảm bảo rằng tất cả người dùng (nội bộ, bên ngoài và tạm thời) và các hoạt động của họ trên hệ thống công nghệ thông tin (ứng dụng kinh doanh, môi trường công nghệ thông tin, hệ thống hoạt động, phát triển và bảo trì) là duy nhất nhận dạng. Kích hoạt tính năng nhận dạng người dùng thông qua các cơ chế xác thực. Xác nhận quyền sử dụng truy cập vào các hệ thống và dữ liệu có phù hợp với quy định và ghi nhận nhu cầu kinh doanh và yêu cầu công việc được gắn liền với danh tính người dùng. Đảm bảo rằng người dùng truy cập các quyền đều được yêu cầu của người sử dụng quản lý, phê duyệt chủ hệ thống và thực hiện bởi người có trách nhiệm bảo mật. Duy trì danh tính người dùng và quyền truy cập vào một kho lưu trữ trung ương. Triển khai các biện pháp kỹ thuật và thủ tục chi phí-hiệu quả, và giữ chúng để thiết lập sự đồng người sử dụng, thực hiện thẩm định và thực thi các quyền truy cập. DS5.4 Quản lý tài khoản người dùng Địa chỉ yêu cầu, thiết lập, phát hành, đình chỉ , sửa chữa và đóng các tài khoản người dùng và đặc quyền người dùng có liên quan với một tập hợp các quy trình quản lý tài khoản người dùng. Bao gồm một thủ tục phê duyệt phác thảo các chủ sở hữu dữ liệu hoặc hệ thống cấp quyền truy cập. Các thủ tục này nên áp dụng cho tất cả người sử dụng, bao gồm cả các quản trị viên (người sử dụng đặc quyền) và người sử dụng nội bộ và bên ngoài, đối với trường hợp bình thường và khẩn cấp. Quyền và nghĩa vụ liên quan đến quyền truy cập vào hệ thống doanh nghiệp và thông tin cần được hợp đồng bố trí cho tất cả các loại của người sử dụng. Thực hiện đánh giá quản lý thường xuyên của tất cả các tài khoản và quyền liên quan. DS5.5 an kiểm tra, giám sát và giám sát kiểm tra và giám sát việc thực hiện bảo mật công nghệ thông tin một cách chủ động. an ninh công nghệ thông tin cần được reaccredited một cách kịp thời để đảm bảo rằng cơ sở an ninh thông tin của doanh nghiệp đã được phê duyệt được duy trì. Một khai thác gỗ và theo dõi chức năng sẽ cho phép các phòng sớm và / hoặc phát hiện và báo cáo kịp thời tiếp theo và / hoặc các hoạt động bất thường khác thường có thể cần phải được giải quyết. DS5.6 an Incident Định nghĩa xác định rõ ràng và giao tiếp các đặc điểm của sự cố an ninh tiềm năng để họ có thể được phân loại đúng và điều trị bởi các sự cố và vấn đề quá trình quản lý. Bảo vệ DS5.7 Công nghệ an Hãy công nghệ bảo mật liên quan đến khả năng chống giả mạo, và không tiết lộ tài liệu mật không cần thiết. DS5.8 Cryptographic Quản lý Key Xác định các chính sách và thủ tục tại chỗ để tổ chức các thế hệ, thay đổi, hủy bỏ, tiêu hủy, phân phối, cấp giấy chứng nhận, lưu trữ, nhập cảnh, sử dụng và lưu trữ các khóa mật mã để đảm bảo việc bảo vệ chống lại các phím chỉnh sửa và tiết lộ trái phép. DS5.9 Malicious Software Phòng ngừa, phát hiện và chỉnh sửa Put phòng ngừa, thám tử và các biện pháp khắc phục tại chỗ (đặc biệt là up-to-date bản vá bảo mật và kiểm soát virus) trong toàn tổ chức để bảo vệ hệ thống thông tin và công nghệ từ phần mềm độc hại (ví dụ, virus, worms, spyware, spam). DS5.10 Network Security sử dụng kỹ thuật bảo mật, thủ tục quản lý có liên quan (ví dụ, các bức tường lửa, thiết bị an ninh, phân đoạn mạng, phát hiện xâm nhập) cho phép truy cập và kiểm soát các luồng thông tin vào và ra khỏi mạng. DS5.11 Trao đổi dữ liệu nhạy cảm trao đổi dữ liệu giao dịch nhạy cảm chỉ có hơn một con đường đáng tin cậy hoặc trung với các điều khiển để cung cấp tính xác thực của nội dung, bằng chứng về trình, bằng chứng nhận và không thoái thác xuất xứ. HƯỚNG DẪN QUẢN LÝ Từ Đầu vào kiến trúc PO2 Thông tin; phân loại dữ liệu giao PO3 Công nghệ tiêu chuẩn PO9 Đánh giá rủi ro Application AI2 kiểm soát an ninh đặc DS1 Olas đầu ra Để an nghĩa vụ DS8 yêu cầu đào tạo cụ thể về nhận thức an ninh DS7 hiệu suất quá trình báo cáo ME1 Yêu cầu bảo mật thay đổi AI6 các mối đe dọa an ninh và các lỗ hổng PO9 kế hoạch và chính sách bảo mật IT DS11 RACI Chart Chức năng CEO CFO Business Executive CIO Business Process Chủ Head Operations trúc sư trưởng Head Phát triển công nghệ thông tin Quản lý Head PMO tuân thủ, kiểm toán, rủi ro và an ninh hoạt động Xác định và duy trì một kế hoạch an ninh công nghệ thông tin. ICCACCCCIIR Xác định, thiết lập và vận hành một bản sắc (tài khoản) quá trình quản lý. IACRRIC Monitor sự cố bảo mật tiềm năng và thực tế. AIRCCR kỳ quyền xem xét và sử dụng validate truy cập và đặc quyền. IACR Thiết lập và duy trì các thủ tục cho việc duy trì và bảo vệ khóa mật mã. ARIC Thực hiện và duy trì kiểm soát kỹ thuật và thủ tục để bảo vệ thông tin chảy qua mạng. ACCRRC Tiến hành đánh giá tính dễ tổn thương thường xuyên. IAICCCR A RACI biểu đồ xác định ai là người có trách nhiệm, Có trách nhiệm, xin ý kiến và / hoặc có thông tin. Mục tiêu và Metrics • Đảm bảo rằng các thông tin quan trọng và bí mật được giữ lại từ những người không nên có quyền truy cập vào nó. • Đảm bảo rằng các giao dịch kinh doanh tự động và trao đổi thông tin có thể được đáng tin cậy. • Duy trì tính toàn vẹn của thông tin và cơ sở hạ tầng chế biến. • Tài khoản và bảo vệ tất cả các tài sản công nghệ thông tin. • Đảm bảo rằng các dịch vụ công nghệ thông tin và cơ sở hạ tầng có thể chống lại và phục hồi từ thất bại do lỗi, cố ý tấn công hay disaster.Process truy cập • Giấy phép dữ liệu quan trọng và nhạy cảm cho người dùng được ủy quyền. • Xác định, theo dõi và báo cáo lỗ hổng bảo mật, sự cố. • Phát hiện và giải quyết các truy cập trái phép thông tin, ứng dụng và cơ sở hạ tầng. • Giảm thiểu các tác động của các lỗ hổng bảo mật, sự cố. • Các yêu cầu an ninh Hiểu biết, lỗ hổng và mối đe dọa • Quản lý danh tính người dùng và ủy quyền một cách tiêu chuẩn hóa • Xác định sự cố an ninh • Kiểm tra an ninh thường xuyên • Số vụ có tác động kinh doanh • Số lượng các hệ thống mà các yêu cầu bảo mật không được đáp ứng • Thời gian để cấp, thay đổi và hủy bỏ quyền truy cập • Số lượng và loại vi phạm bị nghi ngờ và tiếp cận thực tế • Số lượng các vi phạm trong phân công nhiệm vụ • Phần trăm của những người dùng không tuân thủ các tiêu chuẩn mật khẩu • Số lượng và loại preventedctivities mã độc hại • Tần số và xem xét các loại của các sự kiện an ninh được theo dõi • Số lượng và loại các tài khoản lỗi thời • Số lượng địa chỉ IP trái phép, cổng và các loại lưu lượng truy cập bị từ chối • Phần trăm của các khóa mật mã bị xâm nhập và bị thu hồi • Số lượng quyền truy cập được ủy quyền, thu hồi, thiết lập lại hoặc thay đổi Maturity Model Management của quá trình Đảm bảo hệ thống an ninh đáp ứng các yêu cầu kinh doanh cho công nghệ thông tin trong việc duy trì tính toàn vẹn của thông tin và cơ sở hạ tầng xử lý và giảm thiểu tác động của lỗ hổng bảo mật và sự cố là: 0 Không tồn tại khi các tổ chức không nhận ra sự cần thiết cho an ninh công nghệ thông tin. Trách nhiệm và trách nhiệm giải trình không được gán cho việc đảm bảo an ninh. Các biện pháp hỗ trợ quản lý an ninh công nghệ thông tin không được thực hiện. Không có công nghệ thông tin báo cáo an ninh và không có quá trình phản ứng cho vi phạm an ninh công nghệ thông tin. Có một thiếu hoàn chỉnh của một quy trình quản lý an ninh hệ thống nhận biết. Initial 1 / Ad Hoc khi Tổ chức công nhận sự cần thiết của công nghệ bảo mật thông tin. Nhận thức về sự cần thiết cho an ninh chủ yếu phụ thuộc vào cá nhân. an ninh công nghệ thông tin được đề cập trên cơ sở phản ứng. thông tin te
- DS5 Đảm bảo hệ thống an ninh
Sự cần thiết phải duy trì tính toàn vẹn của thông tin và bảo vệ tài sản NGHỆ THÔNG TIN đòi hỏi một quá trình quản lý an ninh. Quá trình này bao gồm việc thiết lập và duy trì vai trò CÔNG NGHỆ THÔNG TIN an ninh và responsibilties, chính sách, tiêu chuẩn và thủ tục. Quản lý bảo mật cũng bao gồm thực hiện giám sát an ninh và kiểm tra định kỳ và thực hiện các hành động khắc phục những điểm yếu an ninh xác định hoặc sự cố. Quản lý bảo mật hiệu quả bảo vệ tất cả các tài sản công nghệ thông tin để giảm thiểu các tác động kinh doanh của các lỗ hổng bảo mật, sự cố.
Việc kiểm soát các quá trình công nghệ thông tin của
hệ thống Đảm bảo an ninh
đáp ứng các yêu cầu kinh doanh cho công nghệ thông tin trong việc duy trì tính toàn vẹn của thông tin và xử lý cơ sở hạ tầng và giảm thiểu các tác động các lỗ hổng an ninh và sự cố bằng cách tập trung vào việc xác định các chính sách bảo mật công nghệ thông tin, kế hoạch và thủ tục, và giám sát, phát hiện, báo cáo và giải quyết các lỗ hổng bảo mật và cố đạt được bằng cách
• Hiểu yêu cầu bảo mật, lỗ hổng và các mối đe dọa
• Quản lý danh tính người dùng và ủy quyền trong một tiêu chuẩn hóa cách
an toàn • Kiểm tra thường xuyên
và được đo bởi
• Số cố làm thiệt hại uy tín của tổ chức với
các công
• Số lượng các hệ thống mà các yêu cầu bảo mật không được đáp ứng
• Số lượng các vi phạm trong phân công nhiệm vụ
hiệu quả
Hiệu quả
bảo mật
Liêm
Sẵn
Tuân
Độ bền
P QUẢN Primary Secondary Cung cấp và Hỗ trợ Đảm bảo MỤC TIÊU KIỂM SOÁT Systems Management DS5.1 của công nghệ bảo mật thông tin Quản lý bảo mật công nghệ thông tin ở cấp độ tổ chức phù hợp cao nhất, nên việc quản lý các hoạt động bảo vệ phù hợp với yêu cầu kinh doanh. DS5.2 Kế hoạch công nghệ bảo mật thông tin Dịch kinh doanh, rủi ro và tuân thủ các yêu cầu vào một kế hoạch an ninh công nghệ thông tin tổng thể, có tính đến các cơ sở hạ tầng công nghệ thông tin và văn hoá an ninh. Đảm bảo rằng kế hoạch này được thực hiện trong các chính sách và thủ tục an ninh cùng với các khoản đầu tư thích hợp trong dịch vụ, nhân sự, phần mềm và phần cứng. Giao tiếp chính sách và thủ tục an ninh cho các bên liên quan và người sử dụng. DS5.3 Identity Management Đảm bảo rằng tất cả người dùng (nội bộ, bên ngoài và tạm thời) và các hoạt động của họ trên hệ thống công nghệ thông tin (ứng dụng kinh doanh, môi trường công nghệ thông tin, hệ thống hoạt động, phát triển và bảo trì) là duy nhất nhận dạng. Kích hoạt tính năng nhận dạng người dùng thông qua các cơ chế xác thực. Xác nhận quyền sử dụng truy cập vào các hệ thống và dữ liệu có phù hợp với quy định và ghi nhận nhu cầu kinh doanh và yêu cầu công việc được gắn liền với danh tính người dùng. Đảm bảo rằng người dùng truy cập các quyền đều được yêu cầu của người sử dụng quản lý, phê duyệt chủ hệ thống và thực hiện bởi người có trách nhiệm bảo mật. Duy trì danh tính người dùng và quyền truy cập vào một kho lưu trữ trung ương. Triển khai các biện pháp kỹ thuật và thủ tục chi phí-hiệu quả, và giữ chúng để thiết lập sự đồng người sử dụng, thực hiện thẩm định và thực thi các quyền truy cập. DS5.4 Quản lý tài khoản người dùng Địa chỉ yêu cầu, thiết lập, phát hành, đình chỉ , sửa chữa và đóng các tài khoản người dùng và đặc quyền người dùng có liên quan với một tập hợp các quy trình quản lý tài khoản người dùng. Bao gồm một thủ tục phê duyệt phác thảo các chủ sở hữu dữ liệu hoặc hệ thống cấp quyền truy cập. Các thủ tục này nên áp dụng cho tất cả người sử dụng, bao gồm cả các quản trị viên (người sử dụng đặc quyền) và người sử dụng nội bộ và bên ngoài, đối với trường hợp bình thường và khẩn cấp. Quyền và nghĩa vụ liên quan đến quyền truy cập vào hệ thống doanh nghiệp và thông tin cần được hợp đồng bố trí cho tất cả các loại của người sử dụng. Thực hiện đánh giá quản lý thường xuyên của tất cả các tài khoản và quyền liên quan. DS5.5 an kiểm tra, giám sát và giám sát kiểm tra và giám sát việc thực hiện bảo mật công nghệ thông tin một cách chủ động. an ninh công nghệ thông tin cần được reaccredited một cách kịp thời để đảm bảo rằng cơ sở an ninh thông tin của doanh nghiệp đã được phê duyệt được duy trì. Một khai thác gỗ và theo dõi chức năng sẽ cho phép các phòng sớm và / hoặc phát hiện và báo cáo kịp thời tiếp theo và / hoặc các hoạt động bất thường khác thường có thể cần phải được giải quyết. DS5.6 an Incident Định nghĩa xác định rõ ràng và giao tiếp các đặc điểm của sự cố an ninh tiềm năng để họ có thể được phân loại đúng và điều trị bởi các sự cố và vấn đề quá trình quản lý. Bảo vệ DS5.7 Công nghệ an Hãy công nghệ bảo mật liên quan đến khả năng chống giả mạo, và không tiết lộ tài liệu mật không cần thiết. DS5.8 Cryptographic Quản lý Key Xác định các chính sách và thủ tục tại chỗ để tổ chức các thế hệ, thay đổi, hủy bỏ, tiêu hủy, phân phối, cấp giấy chứng nhận, lưu trữ, nhập cảnh, sử dụng và lưu trữ các khóa mật mã để đảm bảo việc bảo vệ chống lại các phím chỉnh sửa và tiết lộ trái phép. DS5.9 Malicious Software Phòng ngừa, phát hiện và chỉnh sửa Put phòng ngừa, thám tử và các biện pháp khắc phục tại chỗ (đặc biệt là up-to-date bản vá bảo mật và kiểm soát virus) trong toàn tổ chức để bảo vệ hệ thống thông tin và công nghệ từ phần mềm độc hại (ví dụ, virus, worms, spyware, spam). DS5.10 Network Security sử dụng kỹ thuật bảo mật, thủ tục quản lý có liên quan (ví dụ, các bức tường lửa, thiết bị an ninh, phân đoạn mạng, phát hiện xâm nhập) cho phép truy cập và kiểm soát các luồng thông tin vào và ra khỏi mạng. DS5.11 Trao đổi dữ liệu nhạy cảm trao đổi dữ liệu giao dịch nhạy cảm chỉ có hơn một con đường đáng tin cậy hoặc trung với các điều khiển để cung cấp tính xác thực của nội dung, bằng chứng về trình, bằng chứng nhận và không thoái thác xuất xứ. HƯỚNG DẪN QUẢN LÝ Từ Đầu vào kiến trúc PO2 Thông tin; phân loại dữ liệu giao PO3 Công nghệ tiêu chuẩn PO9 Đánh giá rủi ro Application AI2 kiểm soát an ninh đặc DS1 Olas đầu ra Để an nghĩa vụ DS8 yêu cầu đào tạo cụ thể về nhận thức an ninh DS7 hiệu suất quá trình báo cáo ME1 Yêu cầu bảo mật thay đổi AI6 các mối đe dọa an ninh và các lỗ hổng PO9 kế hoạch và chính sách bảo mật IT DS11 RACI Chart Chức năng CEO CFO Business Executive CIO Business Process Chủ Head Operations trúc sư trưởng Head Phát triển công nghệ thông tin Quản lý Head PMO tuân thủ, kiểm toán, rủi ro và an ninh hoạt động Xác định và duy trì một kế hoạch an ninh công nghệ thông tin. ICCACCCCIIR Xác định, thiết lập và vận hành một bản sắc (tài khoản) quá trình quản lý. IACRRIC Monitor sự cố bảo mật tiềm năng và thực tế. AIRCCR kỳ quyền xem xét và sử dụng validate truy cập và đặc quyền. IACR Thiết lập và duy trì các thủ tục cho việc duy trì và bảo vệ khóa mật mã. ARIC Thực hiện và duy trì kiểm soát kỹ thuật và thủ tục để bảo vệ thông tin chảy qua mạng. ACCRRC Tiến hành đánh giá tính dễ tổn thương thường xuyên. IAICCCR A RACI biểu đồ xác định ai là người có trách nhiệm, Có trách nhiệm, xin ý kiến và / hoặc có thông tin. Mục tiêu và Metrics • Đảm bảo rằng các thông tin quan trọng và bí mật được giữ lại từ những người không nên có quyền truy cập vào nó. • Đảm bảo rằng các giao dịch kinh doanh tự động và trao đổi thông tin có thể được đáng tin cậy. • Duy trì tính toàn vẹn của thông tin và cơ sở hạ tầng chế biến. • Tài khoản và bảo vệ tất cả các tài sản công nghệ thông tin. • Đảm bảo rằng các dịch vụ công nghệ thông tin và cơ sở hạ tầng có thể chống lại và phục hồi từ thất bại do lỗi, cố ý tấn công hay disaster.Process truy cập • Giấy phép dữ liệu quan trọng và nhạy cảm cho người dùng được ủy quyền. • Xác định, theo dõi và báo cáo lỗ hổng bảo mật, sự cố. • Phát hiện và giải quyết các truy cập trái phép thông tin, ứng dụng và cơ sở hạ tầng. • Giảm thiểu các tác động của các lỗ hổng bảo mật, sự cố. • Các yêu cầu an ninh Hiểu biết, lỗ hổng và mối đe dọa • Quản lý danh tính người dùng và ủy quyền một cách tiêu chuẩn hóa • Xác định sự cố an ninh • Kiểm tra an ninh thường xuyên • Số vụ có tác động kinh doanh • Số lượng các hệ thống mà các yêu cầu bảo mật không được đáp ứng • Thời gian để cấp, thay đổi và hủy bỏ quyền truy cập • Số lượng và loại vi phạm bị nghi ngờ và tiếp cận thực tế • Số lượng các vi phạm trong phân công nhiệm vụ • Phần trăm của những người dùng không tuân thủ các tiêu chuẩn mật khẩu • Số lượng và loại preventedctivities mã độc hại • Tần số và xem xét các loại của các sự kiện an ninh được theo dõi • Số lượng và loại các tài khoản lỗi thời • Số lượng địa chỉ IP trái phép, cổng và các loại lưu lượng truy cập bị từ chối • Phần trăm của các khóa mật mã bị xâm nhập và bị thu hồi • Số lượng quyền truy cập được ủy quyền, thu hồi, thiết lập lại hoặc thay đổi Maturity Model Management của quá trình Đảm bảo hệ thống an ninh đáp ứng các yêu cầu kinh doanh cho công nghệ thông tin trong việc duy trì tính toàn vẹn của thông tin và cơ sở hạ tầng xử lý và giảm thiểu tác động của lỗ hổng bảo mật và sự cố là: 0 Không tồn tại khi các tổ chức không nhận ra sự cần thiết cho an ninh công nghệ thông tin. Trách nhiệm và trách nhiệm giải trình không được gán cho việc đảm bảo an ninh. Các biện pháp hỗ trợ quản lý an ninh công nghệ thông tin không được thực hiện. Không có công nghệ thông tin báo cáo an ninh và không có quá trình phản ứng cho vi phạm an ninh công nghệ thông tin. Có một thiếu hoàn chỉnh của một quy trình quản lý an ninh hệ thống nhận biết. Initial 1 / Ad Hoc khi Tổ chức công nhận sự cần thiết của công nghệ bảo mật thông tin. Nhận thức về sự cần thiết cho an ninh chủ yếu phụ thuộc vào cá nhân. an ninh công nghệ thông tin được đề cập trên cơ sở phản ứng. thông tin te
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Send a normal monster on our field to to
- Trang Thi Thu Hang350/22 An Loi Dong, Di
- cô ấy sẽ đi du lịch
- key settings
- let me tell more about my parents
- youth
- temporary workers were employed to key i
- An important factor was Manuel Neuer, wh
- chủ chiếc xe
- always kêp netwoork connection
- Xin lỗi vì sự chậm trễ
- bạn uống thuốc đi
- Voiced
- tôi có quyết định quan trọng là
- An important factor was Manuel Neuer, wh
- foutain
- One of the greatest advances in modern t
- đàn ông
- All these systems use antennas as the ha
- cô gái
- Send a normal monster on our field to to
- fourtain
- Battle Guide
- nhưng lynn thì khác
