Hindi sinusuportahan ng iyong browser ang JavaScript!

Mga Madalas Itanong

Mga FAQ sa Seguridad ng Impormasyon

Saan ko mahahanap ang mga patakaran sa Information Technology Resource Management (ITRM)?

Ang mga patakaran, pamantayan, at alituntunin ng Commonwealth ay matatagpuan sa Mga Patakaran, Pamantayan, at Alituntunin ng ITRM sa seksyong Patakaran $ Pamamahala.

Responsable ba ang isang pinuno ng ahensya sa seguridad sa kanilang ahensya?

Oo, ang pinuno ng ahensya sa huli ay responsable para sa seguridad ng mga sistema at data ng teknolohiya ng impormasyon ng ahensya.

Anong mga partikular na responsibilidad sa seguridad ang mayroon ang pinuno ng ahensya?

Ang mga partikular na responsibilidad ng pinuno ng ahensya, alinsunod sa IT Information Security Standard (SEC501-10.1) PDF "Mga Pangunahing Tungkulin at Responsibilidad sa Seguridad ng Impormasyon", ay ang:

Magtalaga ng Information Security Officer (ISO) para sa ahensya, kada dalawang taon.

Tiyakin na ang isang programa sa seguridad ng impormasyon ng ahensya ay pinananatili, na sapat upang maprotektahan ang mga IT system ng ahensya, at iyon ay dokumentado at epektibong ipinapaalam.

Suriin at aprubahan ang Business Impact Analyzes (BIA), Risk Assessments (RAs), at Continuity of Operations Plan (COOP) ng ahensya, upang isama ang isang IT Disaster Recovery Plan, kung naaangkop.

Suriin at aprubahan ang System Security Plans para sa lahat ng ahensyang IT system na inuri bilang sensitibo.

Tiyakin na ang isang Programa ng Pag-audit sa Seguridad ng Impormasyon ay naitatag. Tandaan: Pakitingnan ang IT Security Audit Standard (COV ITRM Standard SEC502-00) para sa mga partikular na responsibilidad ng pinuno ng ahensya tungkol sa pagsunod sa programa ng audit.

Tiyakin na ang isang programa ng Information Security Program ay naitatag.

Tiyakin na ang isang Information Security Awareness and Training Program ay naitatag.

Magbigay ng mga mapagkukunan upang bigyang-daan ang mga empleyado na maisagawa ang kanilang mga responsibilidad para sa pag-secure ng mga IT system at data.

Kilalanin ang isang May-ari ng System, sa pangkalahatan ang May-ari ng Negosyo, para sa bawat sensitibong sistema ng ahensya.

Pigilan ang salungatan ng mga interes sa pamamagitan ng pagsunod sa konsepto ng seguridad ng paghihiwalay ng mga tungkulin para sa Information Security Officer, System/Data Owners at System Administrators.

Tiyakin na ang mga paglabag sa data ay naiulat sa Chief Information Security Officer. (Naaangkop lamang para sa mga ahensya ng Executive Branch.)

Anong mga responsibilidad sa seguridad ang maaaring italaga ng pinuno ng ahensya sa iba?

Maaaring italaga ng pinuno ng ahensya ang lahat ng responsibilidad sa Information Security, maliban sa mga sumusunod:

Pagtatalaga ng isang Opisyal ng Seguridad ng Impormasyon.

Pagtitiyak sa pagpapatupad ng isang Programa sa Seguridad ng Impormasyon.

Pagtitiyak sa pagpapatupad ng isang Audit Program.

Tandaan: Dapat kopyahin ng itinalagang partido ang pinuno ng ahensya sa mga isinumiteng email sa Chief Information Security Officer.

Paano itinalaga ang isang Information Security Officer (ISO)?

Ang ISO ay itinalaga sa pamamagitan ng pagsusumite ng ISO at back-up na pangalan ng ISO, titulo, at impormasyon sa pakikipag-ugnayan sa Chief Information Security Officer (CISO) kada dalawang taon ng pinuno ng ahensya. Para sa karagdagang mga detalye tingnan ang IT Information Security Standard (SEC501-10.1) PDF "Mga Pangunahing Tungkulin at Responsibilidad sa Seguridad ng Impormasyon".

Kung ang pagsusumite ay ipinadala sa pamamagitan ng email, ang pagsusumite ay tatanggapin mula sa iba maliban sa pinuno ng ahensya, kung ang pinuno ng ahensya ay kinopya.

Paano ko kukumpletuhin at isusumite ang isang plano sa pag-audit?

Ang iyong ahensyang Information Technology (IT) security audit plan ay dapat na binuo batay sa direksyon na ibinigay sa IT Security Audit Standard (SEC 502) "Planning for IT Security Audits" at IT Security Audit Guideline (SEC 512.00) "IT Security Audit Plan". Pakigamit ang IT Security Audit Plan Template para kumpletuhin ang iyong plano.

Dapat isumite ng pinuno ng ahensya o itinalaga ang plano sa pag-audit taun-taon sa Chief Information Security Officer (CISO). Kung ang isinumite ay ipinadala sa email ng itinalaga, ang pinuno ng ahensya ay dapat kopyahin.

Paano ko kukumpletuhin at isusumite ang corrective action plan (CAP)?

Dapat na binuo ang iyong ahensya ng Information Technology (IT) security corrective action plan batay sa direksyong ibinigay sa IT Security Audit Standard (SEC 502) "Documentation of IT Security Audits" at IT Security Audit Guideline (SEC 512.00) "Corrective Action Plan" at "CAP Periodic Reporting". Pakigamit ang Corrective Action Plan Template para kumpletuhin ang iyong plano.

Dapat isumite ng pinuno ng ahensya o itinalaga ang corrective action plan kada quarter sa Chief Information Security Officer (CISO) ng Commonwealth.

Kung naglalaman ang plano ng sensitibong impormasyon, mag-email sa CommonwealthSecurity@VITA.Virginia.Gov upang humiling ng tulong sa pagtukoy ng mahusay at secure na paraan ng paghahatid ng plano.

Paano ako makakakuha ng access sa mga karagdagang application, network drive, atbp?

Kung kailangan mo ng karagdagang access sa network environment sa mga application, network drive, atbp, ipa-email sa iyong ahensya ang information technology resource (AITR) o information security officer (ISO) sa kahilingan sa VITA Customer Care Center (VCCC) sa vccc@vita.virginia.gov.

Maaari bang gamitin ng aking organisasyon/estado ang video na "Duhs of Security" para sa aming pagsasanay sa kaalaman sa seguridad?

Mangyaring huwag mag-atubiling gamitin ang "Duhs of Security" na video sa iyong mga pagsusumikap sa kaalaman sa seguridad ng impormasyon. Natutuwa kami na nakikita mo ang sapat na halaga sa aming produkto upang idagdag ito sa iyong programa.

Ano ang impormasyon sa pakikipag-ugnayan para sa Commonwealth Security and Risk Management (CS/RM)?

Ang Commonwealth Security and Risk Management ay maaaring makipag-ugnayan sa mga sumusunod na paraan:

Mail: Chief Information Security Officer, Virginia Information Technologies Agency, 7325 Beaufont Springs Drive, Richmond, VA 23225

Email: commonwealthsecurity@vita.virginia.gov.

Ano ang gagawin ko kung pinaghihinalaan ko ang isang insidente sa seguridad ng impormasyon o paano ako magsusumite ng kilalang insidente sa seguridad?

Mayroong dalawang pangunahing paraan upang magsumite ng pinaghihinalaang o kilalang insidente sa seguridad. Ang isang paraan upang magsumite ng insidente sa seguridad ay kumpletuhin ang online na form sa pag-uulat na matatagpuan dito: Mag-ulat ng Cyber Insidente.

Ang pangalawang paraan para magsumite ng insidente sa seguridad ay tumawag sa VITA Customer Care Center (VCCC) sa 1-866-637-8482. Ang VCCC ay tatanggap ng mga ulat sa insidente ng seguridad para sa parehong IT partnership at non-IT partnership na ahensya.

Kinakailangan na huwag mong hawakan o isara ang computer hanggang sa makatanggap ka ng mga tagubilin.

Paano ko kukumpletuhin at isusumite ang isang pagbubukod sa isang pamantayan sa Seguridad ng Impormasyon?

Kung matukoy ng pinuno ng ahensya na ang pagsunod sa mga probisyon ng mga pamantayan sa seguridad ng impormasyon ay makakaapekto sa proseso ng negosyo ng ahensya, maaaring humiling ang pinuno ng ahensya ng pag-apruba na lumihis mula sa isang partikular na kinakailangan sa pamamagitan ng pagsusumite ng kahilingan sa pagbubukod sa Chief Information Security Officer. Pakigamit ang COV Security Standard Exception Form para magsumite ng exception.

Ang kahilingan sa pagbubukod ay dapat isumite sa Chief Information Security Officer (CISO). Kung ang pagsusumite ay ipinadala sa pamamagitan ng email, maaaring ipadala ng ISO ang email at kopyahin ang pinuno ng ahensya.

Kung naglalaman ang exception ng sensitibong impormasyon, mag-email sa CommonwealthSecurity@VITA.Virginia.Gov para humiling ng tulong sa pagtukoy ng mahusay at secure na paraan ng pagpapadala ng exception.