İçindekiler:
- Donanım, yazılım ve hizmetler
- Üçüncü taraf değerlendirme ve izleme
- Minimum güvenlik gereksinimleri
- Hizmet düzeyi gereksinimleri
Video: The Obama Deception (Türkçe Altyazılı) 2024
Güvenlik riski hususlarını satın alma stratejisi ve uygulamasına entegre etmek, yeni veya bilinmeyen risklerin kuruluşa en aza indirgenmesine yardımcı olur. Genellikle bir kuruluştaki güvenliğin en zayıf halkası kadar güçlü olduğu söylenir. Birleşme ve devralmalar bağlamında, genellikle örgütlerden biri diğerinden daha güvenli olacaktır. İki organizasyonu yeterli analizden önce birbirine bağlamak, yeni organizasyonun güvenlik kabiliyetlerinde önemli bir bozulmaya neden olabilir.
Birleşme veya devralma sırasında politikaları, gereksinimleri, iş süreçlerini ve prosedürleri mutabakat etme nadiren açıktır. Dahası, bir kuruluşun politikaları, gereksinimleri, süreçleri ve prosedürleri birleşme ya da edinimdeki tüm taraflar için "doğru" ya da "en iyi" yol olduğu varsayımında bulunmamalıdır - bu örgüt edinen varlık olmasına rağmen.
Bunun yerine, ileriye dönük olarak yeni kurulan organizasyon için en iyi çözümü tanımlamak için her bir organizasyonun bireysel politikaları, gereksinimleri, süreçleri ve prosedürleri değerlendirilmelidir.
Donanım, yazılım ve hizmetler
Bir kuruluş tarafından değerlendirilen yeni donanım, yazılım veya hizmetler, kurumun genel güvenlik ve risk duruşunu nasıl etkileyeceğini, ve halihazırda organizasyonun içinde yer alan diğer donanımı, yazılımı veya hizmetleri nasıl etkileyeceğini açıklar. Örneğin, entegrasyon sorunlarının, bir sistemin bütünlüğü ve kullanılabilirliği üzerinde olumsuz bir etkisi olabilir.
Üçüncü taraf değerlendirme ve izleme
Bir birleşme veya devralmada, her bir organizasyonun masaya getirdiği üçüncü tarafları göz önüne almak önemlidir. Birleşmeden dolayı üçüncü taraflar ile ilgili risk düzeyinin değişmediğinden emin olmak için, satın alma veya birleştirme kuruluşları üçüncü parti risk programlarını dikkatli bir şekilde incelemekle kalmamakla birlikte üçüncü taraflara yeni bir bakışa ihtiyaç duymaktadırlar. veya edinme.
Herhangi bir yeni üçüncü taraf değerlendirmesi veya izlemesi dikkatlice düşünülmelidir. Tüm önemli güvenlik konularının ve düzenleyici gerekliliklerin hala yeterli düzeyde ele alındığından emin olmak için sözleşmeler (gizlilik, gizlilik şartları ve güvenlik gereksinimleri dahil olmak üzere) ve hizmet düzeyi anlaşmaları (SLA'lar da bu bölümde ele alınmaktadır) gözden geçirilmelidir.
Minimum güvenlik gereksinimleri
Minimum güvenlik gereklilikleri, standartlar ve taban çizgileri, edinim stratejisi ve uygulamasında tam olarak anlaşılmış ve dikkate alınmasını sağlamak için belgelenmelidir.Güvenlik gereksinimlerini önceden ayrılmış iki kuruluştan harmanlamak neredeyse asla onları tek bir belgeye birleştirmek kadar kolay olmamıştır. Bunun yerine, birbiriyle uzlaşılması gereken birçok çakışma, altı çizgi ve çelişki örneği olabilir. Bir geçiş dönemi gerekli olabilir, böylece güvenlik yapılandırmaları ve mimarileri, birleşme veya devralmadan sonra yeni gereksinimlerin karşılanması için ayarlamak için yeterli zaman vardır.
Hizmet düzeyi gereksinimleri
Hizmet düzeyi anlaşmaları (SLA'lar) bir sistem, uygulama, ağ veya hizmet için minimum performans standartları oluşturur. Bir kuruluş, son kullanıcılarına bilgi sistemleri ve hizmetlerinin performansıyla ilgili gerçekçi bir beklenti sağlamak için dahili SLA'lar oluşturur. Örneğin, bir yardım masası SLA, olayları 1, 2, 3 ve 4 olarak ön plana çıkarabilir ve sırasıyla on dakika, 1 saat, 4 saat ve 24 saatlik SLA yanıt süreleri oluşturabilir. Üçüncü taraf ilişkilerinde SLA'lar, bir dış kaynak ortağı veya tedarikçisinin karşılaması gereken sözleşmeye dayalı performans gereksinimleri sağlar. Örneğin, bir İnternet servis sağlayıcısına sahip bir SLA, belirli bir süre içinde aşılırsa, fatura kredileri veya (istenirse) hizmet sözleşmesinin iptaliyle sonuçlanacak maksimum kabul edilebilir bir kesinti oluşturabilir.
