Güvenlik kontrolü çerçeveleri - uyuşturucu

Kuruluşlar, yasal ve düzenleyici uygun çabalarına yardımcı olmak için çoğu zaman bir güvenlik kontrolü çerçevesi benimserler. İlgili güvenlik çerçevelerine örnekler şunlardır:

• COBIT. Bilgi Sistemleri Denetim ve Kontrol Derneği (ISACA) ve BT Yönetişim Enstitüsü (ITGI) tarafından geliştirilen COBIT,
  • Çerçeve de dahil olmak üzere çeşitli bileşenlerden oluşmaktadır. BT yönetişim hedeflerini ve en iyi uygulamaları düzenler.
  • Süreç açıklamaları. Bir referans modeli ve ortak dil sağlar.
  • Kontrol hedefleri. Bireysel BT süreçlerinin kontrolü için üst düzey yönetim gereksinimleri belgelemektedir.
  • Yönetim yönergeleri. Sorumluluk atama, performans ölçme ve süreçler arasındaki ilişkileri gösteren araçlar.
  • Olgunluk modelleri. Örgütsel olgunluk / yeteneği değerlendirin ve boşlukları giderin.

COBIT çerçevesi, Sarbanes-Oxley Yasası'na tabi olan organizasyonlarda popülerdir.

• NIST (Ulusal Standartlar ve Teknoloji Enstitüsü) Özel Yayın 800-53: Federal Bilgi Sistemleri ve Kuruluşları için Güvenlik ve Gizlilik Kontrolleri. NIST SP800-53 olarak bilinen bu, tüm ABD hükümet birimleri tarafından gerekli olan çok popüler ve kapsamlı bir denetim çerçevesidir. Ayrıca özel sektörde yaygın olarak kullanılmaktadır.
• COSO (Treadway Komisyonu Sponsor Kuruluşları Komitesi). Amerikan Muhasebe Derneği (AAA), Yeminli Mali Müşavirler Amerikan Enstitüsü (AICPA), İç Denetçilerin Enstitüsü (IIA) ve Uluslararası Mali Yöneticiler (FEI) tarafından geliştirilen COSO çerçevesi beş bileşenden oluşur:
  • Kontrol ortamı. Diğer tüm iç kontrol bileşenleri için temel sağlar.
  • Risk değerlendirmesi. İlgili risklerin tanımlanması ve analizi yoluyla hedefler koyar ve herhangi bir şeyin kuruluşun hedeflerine ulaşmasını engelleyip önleyemeyeceğini belirler.
  • Kontrol faaliyetleri. Yönetim direktiflerine uyumu sağlamak için oluşturulmuş politikalar ve prosedürler. Çeşitli kontrol faaliyetleri bu kitabın diğer bölümlerinde ele alınmaktadır.
  • Bilgi ve iletişim. Uygun bilgi sistemlerini ve etkin iletişim süreçlerini organizasyonun her yerinde sağlar.
  • İzleme. Performansı zamanla değerlendiren ve eksiklikleri ve düzeltici eylemleri belirleyen faaliyetler.
• ISO / IEC 27002 (Uluslararası Uluslararası Standardizasyon Organizasyonu / Uluslararası Elektroteknik Komisyonu). Resmi olarak "Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Yönetimi için Uygulama Kodu" başlıklı ISO / IEC 27002, 14 alanda güvenlik en iyi uygulamalarını şu şekilde belgelemektedir:
  • Bilgi güvenliği ilkeleri
  • Bilgi güvenliğinin organizasyonu < İnsan kaynakları güvenliği
  • Varlık yönetimi
  • Erişim kontrolü ve kullanıcı erişimini yönetme
  • Şifreleme teknolojisi
  • Kuruluşun sitelerinin ve ekipmanlarının fiziksel güvenliği
  • İşletim güvenliği
  • Güvenli iletişim ve veri aktarımı > Bilgi sistemlerinin sistemleri edinimi, geliştirilmesi ve desteklenmesi
  • Tedarikçiler ve üçüncü taraflar için güvenlik
  • Bilgi güvenliği olay yönetimi
  • İş sürekliliği yönetiminin bilgi güvenliği yönleri
  • Uyumluluk
  • ITIL (Bilgi Teknolojileri Altyapı Kütüphanesi).
  BT hizmet yönetimi için beş cildten oluşan en iyi uygulamalardan oluşan bir dizi:
• Hizmet Stratejisi. Adresleri BT hizmetleri stratejisi yönetimi, hizmet portföy yönetimi, BT hizmetleri finansal yönetim, talep yönetimi ve iş ilişkileri yönetimi.
  • Hizmet Tasarımı. Tasarım koordinasyonunu, hizmet katalog yönetimini, hizmet seviyesi yönetimini, kullanılabilirlik yönetimini, kapasite yönetimini, IT servis sürekliliği yönetimini, bilgi güvenliği yönetim sistemini ve tedarikçi yönetimini ele alır.
  • Hizmet Geçişi. Adres geçiş planlaması ve desteği, değişim yönetimi, hizmet varlığı ve yapılandırma yönetimi, sürüm ve dağıtım yönetimi, hizmet doğrulama ve test, değişim değerlendirme ve bilgi yönetimi.
  • Hizmet İşlemleri. Olay yönetimi, olay yönetimi, hizmet isteği yerine getirme, sorun yönetimi ve erişim yönetimine değinir.
  • Sürekli Hizmet İyileştirme. Stratejinin belirlenmesi, ölçülecek olanın tanımlanması, verilerin toplanması, verilerin işlenmesi, bilgi ve verilerin analizi, bilginin sunulması ve kullanılması ve iyileştirmenin uygulanması dahil olmak üzere iyileştirme girişimleri için yedi aşamalı bir işlemi tanımlar.