متصفحك لا يدعم جافا سكريبت!

الأسئلة الشائعة

الأسئلة الشائعة حول أمن المعلومات

أين يمكنني العثور على سياسات إدارة موارد تكنولوجيا المعلومات (ITRM)؟

يمكن الاطلاع على سياسات ومعايير وإرشادات الكومنولث سياسات ومعايير وإرشادات ITRM & المبادئ التوجيهية في قسم السياسة $ الحوكمة.

هل رئيس الوكالة مسؤول عن الأمن في وكالته؟

نعم، رئيس الوكالة مسؤول في النهاية عن أمن أنظمة تكنولوجيا المعلومات والبيانات الخاصة بالوكالة.

ما هي المسؤوليات الأمنية المحددة التي تقع على عاتق رئيس الوكالة؟

المسؤوليات المحددة لرئيس الوكالة، وفقًا لمعيار أمن معلومات تكنولوجيا المعلومات (SEC501-10..1) PDF "أدوار ومسؤوليات أمن المعلومات الرئيسية" ، هي

تعيين مسؤول أمن المعلومات (ISO) للوكالة، كل سنتين.

التأكد من وجود برنامج لأمن معلومات الوكالة، يكون كافياً لحماية أنظمة تكنولوجيا المعلومات الخاصة بالوكالة، ويتم توثيقه وإبلاغه بشكل فعال.

مراجعة واعتماد تحليلات تأثير الأعمال (BIA) وتقييمات المخاطر (RAs) وخطة استمرارية العمليات (COOP) الخاصة بالوكالة، لتشمل خطة التعافي من الكوارث في مجال تكنولوجيا المعلومات، إن وجدت.

مراجعة واعتماد خطط أمن النظام لجميع أنظمة تكنولوجيا المعلومات الخاصة بالوكالة المصنفة على أنها حساسة.

التأكد من وضع برنامج تدقيق أمن المعلومات. ملاحظة: يُرجى الاطلاع على معيار تدقيق أمن تكنولوجيا المعلومات (معيار تدقيق أمن تكنولوجيا المعلومات SEC502-00) للاطلاع على مسؤوليات رؤساء الوكالات المحددة فيما يتعلق بالامتثال لبرنامج التدقيق.

التأكد من إنشاء برنامج برنامج لأمن المعلومات.

ضمان وضع برنامج للتوعية والتدريب في مجال أمن المعلومات.

توفير الموارد اللازمة لتمكين الموظفين من القيام بمسؤولياتهم في تأمين أنظمة تكنولوجيا المعلومات والبيانات.

تحديد مالك للنظام، وهو بشكل عام مالك العمل، لكل نظام حساس للوكالة.

منع تضارب المصالح من خلال الالتزام بالمفهوم الأمني للفصل بين واجبات مسؤول أمن المعلومات ومالكي النظام/البيانات ومسؤولي النظام.

التأكد من الإبلاغ عن انتهاكات البيانات إلى كبير مسؤولي أمن المعلومات. (ينطبق فقط على الوكالات التابعة للفرع التنفيذي).

ما هي المسؤوليات الأمنية التي يمكن لرئيس الوكالة تفويضها للآخرين؟

يجوز لرئيس الوكالة تفويض جميع مسؤوليات أمن المعلومات، باستثناء ما يلي:

تعيين مسؤول أمن المعلومات

ضمان تنفيذ برنامج أمن المعلومات.

ضمان تنفيذ برنامج تدقيق الحسابات.

ملاحظة: يجب أن يقوم الطرف المفوض بنسخ نسخة من رئيس الوكالة في رسائل البريد الإلكتروني المقدمة إلى رئيس أمن المعلومات.

كيف يتم تعيين مسؤول أمن المعلومات (ISO)؟

يتم تعيين مسؤول أمن المعلومات من خلال تقديم اسم مسؤول أمن المعلومات (ISO) ومسؤول أمن المعلومات الاحتياطي واللقب الوظيفي ومعلومات الاتصال إلى كبير مسؤولي أمن المعلومات (CISO) كل سنتين من قبل رئيس الوكالة. للمزيد من التفاصيل انظر معيار أمن معلومات تكنولوجيا المعلومات (SEC501-10.1) PDF "أدوار ومسؤوليات أمن المعلومات الرئيسية".

إذا تم إرسال التقديم عن طريق البريد الإلكتروني، فسيتم قبول التقديم من شخص آخر غير رئيس الوكالة، إذا تم إرسال نسخة من رئيس الوكالة.

كيف يمكنني إكمال خطة التدقيق وتقديمها؟

يجب تطوير خطة التدقيق الأمني لتكنولوجيا المعلومات (IT) الخاصة بوكالتك بناءً على التوجيهات الواردة في معيار تدقيق أمن تكنولوجيا المعلومات (SEC 502) "التخطيط لعمليات تدقيق أمن تكنولوجيا المعلومات" والمبادئ التوجيهية لتدقيق أمن تكنولوجيا المعلومات (SEC 512.00) "خطة تدقيق أمن تكنولوجيا المعلومات". يرجى استخدام نموذج خطة تدقيق أمن تكنولوجيا المعلومات لاستكمال خطتك.

يجب على رئيس الوكالة أو من ينوب عنه تقديم خطة التدقيق سنويًا إلى كبير مسؤولي أمن المعلومات (CISO). إذا تم إرسال الإرسال بالبريد الإلكتروني من قبل الشخص المعين، يجب إرسال نسخة إلى رئيس الوكالة.

كيف يمكنني إكمال وتقديم خطة العمل التصحيحية (CAP)؟

يجب تطوير خطة الإجراءات التصحيحية لأمن تكنولوجيا المعلومات (IT) في وكالتك بناءً على التوجيهات الواردة في معيار تدقيق أمن تكنولوجيا المعلومات (SEC 502) "توثيق عمليات تدقيق أمن تكنولوجيا المعلومات" والمبادئ التوجيهية لتدقيق أمن تكنولوجيا المعلومات (SEC 512.00) "خطة العمل التصحيحية" و "التقارير الدورية". يُرجى استخدام نموذج خطة العمل التصحيحية لاستكمال خطتك.

يجب على رئيس الوكالة أو من ينوب عنه تقديم خطة العمل التصحيحية كل ثلاثة أشهر إلى كبير مسؤولي أمن المعلومات (CISO) في الكومنولث.

إذا كانت الخطة تحتوي على معلومات حساسة، راسل CommonwealthSecurity@VITA.Virginia.Gov لطلب المساعدة في تحديد طريقة فعالة وآمنة لنقل الخطة.

كيف يمكنني الوصول إلى تطبيقات إضافية، ومحركات أقراص الشبكة، وما إلى ذلك؟

إذا كنت تحتاج إلى وصول إضافي في بيئة الشبكة إلى التطبيقات ومحركات أقراص الشبكة وما إلى ذلك، اطلب من مورد تكنولوجيا المعلومات في وكالتك أو مسؤول أمن المعلومات (ISO) إرسال الطلب بالبريد الإلكتروني إلى مركز خدمة عملاء VITA (VCCC) على vccc@vita.virginia.gov.

هل يمكن لمنظمتي/دولتي استخدام فيديو "Duhs of Security" للتدريب على التوعية الأمنية لدينا؟

يرجى عدم التردد في استخدام الفيديو "Duhs of Security" في جهود التوعية بأمن المعلومات الخاصة بك. يسعدنا أنك ترى قيمة كافية في منتجنا لإضافته إلى برنامجك.

ما هي معلومات الاتصال بشركة كومنولث للأمن وإدارة المخاطر (CS/RM)؟

يمكن الاتصال بشركة كومنولث للأمن وإدارة المخاطر بالطرق التالية:

البريد كبير مسؤولي أمن المعلومات، وكالة فيرجينيا لتكنولوجيا المعلومات، 7325 بوفونت سبرينغز درايف، ريتشموند، فيرجينيا 23225

البريد الإلكتروني: commonwealthsecurity@vita.virginia.gov.

ماذا أفعل إذا اشتبهت في وقوع حادث أمني معلوماتي أو كيف يمكنني تقديم حادثة أمنية معروفة؟

هناك طريقتان أساسيتان لتقديم حادثة أمنية مشتبه بها أو معروفة. تتمثل إحدى طرق الإبلاغ عن حادث أمني في إكمال نموذج الإبلاغ عبر الإنترنت الموجود هنا: الإبلاغ عن حادث إلكتروني.

الطريقة الثانية لتقديم بلاغ عن حادث أمني هي الاتصال بمركز خدمة عملاء VITA (VCCC) على الرقم 1-866-637-8482. سيقبل مركز الاتصال الطوعي تقارير الحوادث الأمنية لكل من الوكالات الشريكة في مجال تكنولوجيا المعلومات والوكالات غير الشريكة في مجال تكنولوجيا المعلومات.

من الضروري عدم لمس الكمبيوتر أو إيقاف تشغيله حتى تتلقى التعليمات.

كيف يمكنني إكمال وتقديم استثناء لمعيار أمن المعلومات؟

إذا قرر رئيس الوكالة أن الامتثال لأحكام معايير أمن المعلومات من شأنه أن يؤثر سلبًا على عملية تجارية للوكالة، يجوز لرئيس الوكالة طلب الموافقة على الخروج عن شرط معين من خلال تقديم طلب استثناء إلى كبير مسؤولي أمن المعلومات. يُرجى استخدام نموذج الاستثناءات الأمنية القياسية لـ COV لتقديم استثناء.

يجب تقديم طلب الاستثناء إلى كبير مسؤولي أمن المعلومات (CISO). إذا تم إرسال التقديم عن طريق البريد الإلكتروني، فيمكن للمنظمة الدولية لتوحيد المقاييس إرسال البريد الإلكتروني ونسخه إلى رئيس الوكالة.

إذا كان الاستثناء يحتوي على معلومات حساسة، أرسل بريدًا إلكترونيًا إلى CommonwealthSecurity@VITA.Virginia.Gov لطلب المساعدة في تحديد طريقة فعالة وآمنة لنقل الاستثناء.