Organisationer antar ofta en ram för säkerhetskontroll för att hjälpa till i sina rättsliga och regelbundna efterlevnadsåtgärder. Några exempel på relevanta säkerhetsramar inkluderar följande:
- COBIT. Utvecklat av informationssystemets revisions- och kontrollförening (ISACA) och IT Governance Institute (ITGI) består COBIT av flera komponenter, inklusive
- Framework. Organiserar IT-styrningsmål och bästa praxis.
- Processbeskrivningar. Ger en referensmodell och ett gemensamt språk.
- Kontrollmål. Dokument på hög nivå förvaltningskrav för kontroll av enskilda IT-processer.
- Ledningsriktlinjer. Verktyg för att tilldela ansvar, mäta prestanda och illustrera relationer mellan processer.
- Mognadsmodeller. Bedöm organisationsmognad / förmåga och adressluckor.
COBIT-ramverket är populärt i organisationer som omfattas av Sarbanes-Oxley Act.
- NIST (National Institute for Standards and Technology) Specialpublikation 800-53: Säkerhets- och sekretesskontroller för federala informationssystem och organisationer. Känd som NIST SP800-53, detta är en mycket populär och omfattande kontrollram som krävs av alla USA: s statliga myndigheter. Det används också ofta i den privata industrin.
- COSO (Kommittén för sponsringskommittéer för Treadway Commission). Utvecklat av Institute of Management Accountants (IMA), American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Institute of Internal Auditors (IIA), och Financial Executives International (FEI), COSO-ramverket består av fem komponenter:
- Kontrollmiljö. Tillhandahåller grunden för alla andra interna kontrollkomponenter.
- Riskbedömning. Upprättar mål genom identifiering och analys av relevanta risker och avgör om något kommer att förhindra att organisationen uppfyller sina mål.
- Kontrollaktiviteter. Politik och rutiner som skapas för att säkerställa överensstämmelse med förvaltningsdirektiven. Olika kontrollaktiviteter diskuteras i de andra kapitlen i denna bok.
- Information och kommunikation. Säkerställer lämpliga informationssystem och effektiva kommunikationsprocesser finns på plats i hela organisationen.
- Monitoring. Aktiviteter som bedömer prestanda över tiden och identifierar brister och korrigerande åtgärder.
- ISO / IEC 27002 (Internationella standardiseringsorganisationen / Internationella elektrotekniska kommissionen). Formellt betecknad "Informationsteknik - Säkerhetsteknik - Kod för praxis för informationssäkerhetshantering". ISO / IEC 27002 dokumenterar bästa praxis i säkerhet på 14 domäner, enligt följande:
- Informationssäkerhetspolitik
- Organisation av informationssäkerhet < Mänsklig säkerhet
- Kapitalförvaltning
- Tillgångskontroll och hantering av användaråtkomst
- Kryptografisk teknik
- Fysisk säkerhet för organisationens webbplatser och utrustning
- Operativ säkerhet
- Säker kommunikation och dataöverföring > Systemupphandling, utveckling och support av informationssystem
- Säkerhet för leverantörer och tredje parter
- Informationssäkerhetshanteringshantering
- Informationssäkerhetsaspekter vid hantering av kontinuitetskontroll
- Compliance
-
- ITIL (Informationsteknologi Infrastruktur Bibliotek).
- Servicestrategi. Adresser Strategistyrning av IT-tjänster, serviceportföljhantering, IT-tjänster ekonomisk förvaltning, efterfrågestyrning och affärsförvaltning.
- Service Design. Adresser, designkoordinering, servicekataloghantering, servicenivåhantering, tillgänglighetshantering, kapacitetshantering, kontinuitetskontroll av IT-tjänster, informationssäkerhetshanteringssystem och leverantörshantering.
- Serviceövergång. Adresser övergångsplanering och support, förändringshantering, servicetillgång och konfigurationshantering, frigörings- och implementeringshantering, servicevalidering och testning, ändring av utvärdering och kunskapshantering.
- Service. Adresser händelsehantering, incidenthantering, serviceförfrågan, problemhantering och åtkomsthantering.
- Ständig serviceförbättring. Definierar en sju stegs process för förbättringsinitiativ, inklusive att identifiera strategin, definiera vad som ska mätas, samla in data, bearbeta data, analysera information och data, presentera och använda informationen och genomföra förbättringen.
