የመረጃ ደህንነት ተደጋጋሚ ጥያቄዎች
የኮመንዌልዝ ፖሊሶች፣ ደረጃዎች እና መመሪያዎች የITRM ፖሊሲዎች፣ ደረጃዎች እና መመሪያዎች በፖሊሲ $ አስተዳደር ክፍል ውስጥ ይገኛሉ።
አዎ፣ የኤጀንሲው ኃላፊ ለኤጀንሲው የኢንፎርሜሽን ቴክኖሎጂ ሥርዓቶችና መረጃዎች ደህንነት በመጨረሻ ኃላፊነት አለበት።
የኤጀንሲው ኃላፊ ልዩ ኃላፊነቶች፣ በአይቲ መረጃ ደህንነት ስታንዳርድ (SEC501-10.1) ፒዲኤፍ "ቁልፍ የመረጃ ደህንነት ሚናዎች እና ኃላፊነቶች" የሚከተሉት ናቸው
በየአመቱ ለኤጀንሲው የመረጃ ደህንነት ኦፊሰር (አይኤስኦ) ይሰይሙ።
የኤጀንሲው የመረጃ ደህንነት መርሃ ግብር መያዙን፣ የኤጀንሲውን የአይቲ ሲስተሞች ለመጠበቅ በቂ እና በሰነድ የተደገፈ እና ውጤታማ በሆነ መንገድ የተላለፈ መሆኑን ያረጋግጡ።
የሚመለከተው ከሆነ የኤጀንሲውን የንግድ ተፅእኖ ትንተና (ቢአይኤ)፣ የአደጋ ግምገማ (RAs) እና ቀጣይነት ያለው ኦፕሬሽን ፕላን (COOP)፣ የአይቲ አደጋ መልሶ ማግኛ እቅድን ገምግመው ማጽደቅ።
ሚስጥራዊነት ያላቸው ተብለው ለተመደቡ ለሁሉም ኤጀንሲ የአይቲ ሲስተሞች የስርዓት ደህንነት ዕቅዶችን ይገምግሙ እና ያጽድቁ።
የመረጃ ደህንነት ኦዲት ፕሮግራም መቋቋሙን ያረጋግጡ። ማሳሰቢያ፡ እባክዎን የኤጀንሲው የኦዲት ፕሮግራም ማክበርን በሚመለከት ልዩ ሃላፊነቶችን ስለሚመራ የአይቲ ደህንነት ኦዲት ደረጃን (COV ITRM Standard SEC502-00) ይመልከቱ።
የመረጃ ደህንነት ፕሮግራም መቋቋሙን ያረጋግጡ።
የመረጃ ደህንነት ግንዛቤ እና የሥልጠና መርሃ ግብር መቋቋሙን ያረጋግጡ።
ሰራተኞቻቸው የአይቲ ሲስተሞችን እና መረጃዎችን ለመጠበቅ ኃላፊነታቸውን እንዲወጡ ለማስቻል ሀብቱን ያቅርቡ።
ለእያንዳንዱ ኤጀንሲ ሚስጥራዊነት ያለው ስርዓት የስርዓት ባለቤትን፣ በአጠቃላይ የንግድ ሥራ ባለቤትን ይለዩ።
ለኢንፎርሜሽን ደኅንነት ኦፊሰር፣ ለሥርዓት/ዳታ ባለቤቶች እና ለሥርዓት አስተዳዳሪዎች የሥራ መለያየትን የደህንነት ጽንሰ-ሐሳብ በማክበር የጥቅም ግጭትን መከላከል።
የመረጃ ጥሰቶች ለዋና የመረጃ ደህንነት ኦፊሰር ሪፖርት መደረጉን ያረጋግጡ። (ለሥራ አስፈፃሚ ቅርንጫፍ ኤጀንሲዎች ብቻ የሚተገበር።)
የኤጀንሲው ኃላፊ ከሚከተሉት በስተቀር ሁሉንም የመረጃ ደህንነት ኃላፊነቶች በውክልና ሊሰጥ ይችላል፡-
የመረጃ ደህንነት ኦፊሰርን መሾም.
የኢንፎርሜሽን ደህንነት ፕሮግራም ትግበራን ማረጋገጥ.
የኦዲት መርሃ ግብር መተግበሩን ማረጋገጥ።
ማሳሰቢያ፡ የተወከለው አካል የኤጀንሲውን ኃላፊ ለዋና የመረጃ ደህንነት ኦፊሰር በኢሜል መላክ አለበት።
ISO የተመደበው በኤጀንሲው ኃላፊ በየሁለት ዓመቱ ISO እና የመጠባበቂያ ISO ስም፣ ርዕስ እና የእውቂያ መረጃ ለዋና የመረጃ ደህንነት ኦፊሰር (CISO) በማቅረብ ነው። ለተጨማሪ ዝርዝሮች የአይቲ መረጃ ደህንነት ደረጃ (SEC501-10.1) ፒዲኤፍ "የቁልፍ መረጃ ደህንነት ሚናዎች እና ኃላፊነቶች" ይመልከቱ።
ማስረከቡ በኢሜል የተላከ ከሆነ፣ የኤጀንሲው ኃላፊ ከተገለበጠ፣ ማስረከቡ ከኤጀንሲው ኃላፊ በስተቀር ከሌላ ሰው ይቀበላል።
የኤጀንሲዎ የኢንፎርሜሽን ቴክኖሎጂ (IT) የደህንነት ኦዲት እቅድ በ IT ደህንነት ኦዲት ስታንዳርድ (SEC 502) "ፕላኒንግ ለ IT ደህንነት ኦዲት" እና የአይቲ ደህንነት ኦዲት መመሪያ (SEC 512.00) "የአይቲ ደህንነት ኦዲት እቅድ" ላይ በተሰጠው አቅጣጫ መሰረት ማዘጋጀት አለበት። እባክህ እቅድህን ለማጠናቀቅ የአይቲ ደህንነት ኦዲት እቅድ አብነት ተጠቀም።
የኤጀንሲው ኃላፊ ወይም ተወካይ የኦዲት ዕቅዱን በየዓመቱ ለዋና የመረጃ ደህንነት ኦፊሰር (CISO) ማቅረብ አለባቸው። ማስረከቢያው በተወካዩ ኢሜል ከተላከ የኤጀንሲው ኃላፊ መቅዳት አለበት።
የኤጀንሲዎ የኢንፎርሜሽን ቴክኖሎጂ (አይቲ) የደህንነት ማስተካከያ የድርጊት መርሃ ግብር በ IT ደህንነት ኦዲት ስታንዳርድ (SEC 502) "የ IT ደህንነት ኦዲት ሰነዶች" እና የአይቲ ደህንነት ኦዲት መመሪያ (SEC 512.00) "የማስተካከያ የድርጊት መርሃ ግብር" እና "የሲኤፒ ወቅታዊ ሪፖርት አቀራረብ" ላይ በተሰጠው አቅጣጫ መሰረት ማዘጋጀት አለበት። እቅድዎን ለማጠናቀቅ እባክዎ የማስተካከያ የድርጊት መርሃ ግብር አብነት ይጠቀሙ።
የኤጀንሲው ኃላፊ ወይም ተወካይ የማስተካከያ የድርጊት መርሃ ግብሩን በየሩብ ዓመቱ ለኮመንዌልዝ ዋና የመረጃ ደህንነት ኦፊሰር (CISO) ማቅረብ አለባቸው።
እቅዱ ስሱ መረጃዎችን ከያዘ፣ እቅዱን ለማስተላለፍ ቀልጣፋ እና ደህንነቱ የተጠበቀ መንገድ በመለየት እርዳታ ለመጠየቅ ለ CommonwealthSecurity@VITA.Virginia.Gov ኢሜይል ያድርጉ።
በአውታረ መረቡ አካባቢ ወደ አፕሊኬሽኖች፣ የኔትወርክ ድራይቮች፣ ወዘተ ተጨማሪ መዳረሻ ከፈለጉ የኤጀንሲዎ የመረጃ ቴክኖሎጂ ምንጭ (AITR) ወይም የመረጃ ደህንነት ኦፊሰር (አይኤስኦ) ጥያቄውን ወደ VITA የደንበኛ እንክብካቤ ማእከል (VCCC) በ vccc@vita.virginia.gov ኢሜይል ያድርጉ።
እባኮትን በመረጃ ደህንነት የግንዛቤ ማስጨበጫ ጥረቶችዎ ውስጥ የ"Duhs of Security" ቪዲዮን ለመጠቀም ነፃነት ይሰማዎ። ወደ እርስዎ ፕሮግራም ለመጨመር በእኛ ምርት ውስጥ በቂ ዋጋ ስላዩ ደስ ብሎናል።
የኮመንዌልዝ ደህንነት እና ስጋት አስተዳደር በሚከተሉት መንገዶች ማግኘት ይቻላል፡
ደብዳቤ፡ ዋና የመረጃ ደህንነት ኦፊሰር፣ የቨርጂኒያ ኢንፎርሜሽን ቴክኖሎጂ ኤጀንሲ፣ 7325 Beaufont Springs Drive፣ Richmond፣ VA 23225
የተጠረጠረ ወይም የታወቀ የደህንነት ክስተት ለማስገባት ሁለት ዋና መንገዶች አሉ። የደህንነት ችግርን ለማስገባት አንዱ መንገድ እዚህ የሚገኘውን የመስመር ላይ ሪፖርት ማድረጊያ ቅጽ መሙላት ነው ፡ የሳይበር ክስተት ሪፖርት ያድርጉ ።
ሁለተኛው የደህንነት ችግር የማስረከቢያ መንገድ ለVITA የደንበኛ እንክብካቤ ማእከል (VCCC) በ 1-866-637-8482 መደወል ነው። VCCC ለሁለቱም የአይቲ ሽርክና እና የአይቲ አጋርነት ላልሆኑ ኤጀንሲዎች የደህንነት ሪፖርቶችን ይቀበላል።
መመሪያዎችን እስኪያገኙ ድረስ ኮምፒውተሩን እንዳይነኩ ወይም እንዳያጠፉት በጣም አስፈላጊ ነው.
የኤጀንሲው ኃላፊ የመረጃ ደህንነት ደረጃዎች ደንቦችን ማክበር በኤጀንሲው የንግድ ሂደት ላይ አሉታዊ ተጽዕኖ እንደሚያሳድር ከወሰነ የኤጀንሲው ኃላፊ ለየት ያለ ጥያቄ ለዋና የመረጃ ደህንነት ኦፊሰር በማቅረብ ከተወሰነ መስፈርት ለማፈንገጥ ፈቃድ ሊጠይቅ ይችላል። ልዩ ሁኔታዎችን ለማስገባት እባክዎ የ COV ደህንነት ደረጃ ልዩ ቅጹን ይጠቀሙ።
የልዩነት ጥያቄ ለዋና የመረጃ ደህንነት ኦፊሰር (CISO) መቅረብ አለበት። ማቅረቢያው በኢሜል የተላከ ከሆነ, ISO ኢሜይሉን መላክ እና የኤጀንሲውን ኃላፊ መገልበጥ ይችላል.
ልዩነቱ ሚስጥራዊነት ያለው መረጃ ከያዘ፣ ልዩነቱን ለማስተላለፍ ቀልጣፋ እና ደህንነቱ የተጠበቀ መንገድ በመለየት እርዳታ ለመጠየቅ ለ CommonwealthSecurity@VITA.Virginia.Gov ኢሜይል ያድርጉ።