信息安全常见问题解答
联邦政策、标准和指南可在政策 $ 治理部分中的ITRM 政策、标准和指南中找到。
是的,机构负责人最终负责该机构的信息技术系统和数据的安全。
根据IT 信息安全标准 (SEC501- 10 .1) PDF “关键信息安全角色和职责”,机构负责人的具体职责包括:
每两年为该机构指定一名信息安全官 (ISO)。
确保维护机构信息安全计划,该计划足以保护机构的 IT 系统,并且有记录且能得到有效传达。
审查并批准该机构的业务影响分析 (BIA)、风险评估 (RA) 和业务连续性计划 (COOP),包括 IT 灾难恢复计划(如果适用)。
审查并批准所有被归类为敏感的机构 IT 系统的系统安全计划。
确保建立信息安全审计计划。 注意:有关审计计划合规性方面机构负责人的具体职责,请参阅 IT 安全审计标准 (COV ITRM 标准 SEC502- 00 )。
确保建立信息安全计划方案。
确保建立信息安全意识和培训计划。
提供资源,使员工能够履行保护 IT 系统和数据的职责。
为每个机构敏感系统确定一个系统所有者,通常是业务所有者。
坚持信息安全官、系统/数据所有者和系统管理员职责分离的安全理念,防止利益冲突。
确保向首席信息安全官报告数据泄露。 (仅适用于行政部门机构。)
机构负责人可以委托所有信息安全职责,但以下情况除外:
指定一名信息安全官。
确保信息安全计划的实施。
确保审计计划的实施。
注意:受委托方必须将机构负责人在提交给首席信息安全官的电子邮件中抄送。
ISO 的指定方式是,机构负责人每两年向首席信息安全官 (CISO) 提交 ISO 和备份 ISO 的名称、头衔和联系信息。 有关更多详细信息,请参阅IT 信息安全标准 (SEC501- 10 .1) PDF “关键信息安全角色和职责”。
如果通过电子邮件发送提交,则将接受来自机构负责人以外的其他人的提交,前提是该提交已抄送给机构负责人。
贵机构的信息技术 (IT) 安全审计计划应根据IT 安全审计标准 (SEC 502 ) “IT 安全审计规划”和IT 安全审计指南 (SEC 512.00 ) “IT 安全审计计划”中给出的指导方针制定。 请使用IT 安全审计计划模板来完成您的计划。
机构负责人或其指定人员必须每年向首席信息安全官 (CISO) 提交审计计划。 如果指定人通过电子邮件发送提交内容,则必须抄送机构负责人。
贵机构的信息技术 (IT) 安全纠正措施计划应根据IT 安全审计标准 (SEC 502 ) “IT 安全审计文档”和IT 安全审计指南 (SEC 512.00 ) “纠正措施计划”和“CAP 定期报告”中给出的指导来制定。 请使用纠正措施计划模板来完成您的计划。
机构负责人或其指定人员必须每季度向联邦首席信息安全官 (CISO) 提交纠正行动计划。
如果该计划包含敏感信息,请发送电子邮件至CommonwealthSecurity@VITA.Virginia.Gov请求帮助,以确定一种有效且安全的方式传输该计划。
如果您需要在网络环境中获得对应用程序、网络驱动器等的额外访问权限,请让您机构的信息技术资源 (AITR) 或信息安全官员 (ISO) 将请求通过电子邮件发送至 VITA 客户服务中心 (VCCC),地址为vccc@vita.virginia.gov 。
请随意在您的信息安全意识工作中使用“Duhs of Security”视频。 我们很高兴您看到我们的产品具有足够的价值,可以将其添加到您的程序中。
可以通过以下方式联系 Commonwealth Security and Risk Management:
邮寄地址:弗吉尼亚州信息技术局首席信息安全官,7325 Beaufont Springs Drive,里士满,弗吉尼亚州23225
提交疑似或已知安全事件主要有两种方式。 提交安全事件的一种方法是填写此处的在线报告表:报告网络事件。
提交安全事件的第二种方式是致电 VITA 客户服务中心 (VCCC) 1 -866- 637 -8482。 VCCC 将接受 IT 合作机构和非 IT 合作机构的安全事件报告。
在收到指示之前,请务必不要触摸或关闭计算机。
如果机构负责人确定遵守信息安全标准的规定会对机构的业务流程产生不利影响,则机构负责人可以向首席信息安全官提交例外请求,以请求批准偏离特定要求。请使用COV 安全标准例外表提交例外情况。
例外请求应提交给首席信息安全官 (CISO)。 如果通过电子邮件发送提交,ISO 可能会发送电子邮件并抄送机构负责人。
如果例外情况包含敏感信息,请发送电子邮件至CommonwealthSecurity@VITA.Virginia.Gov请求帮助,以确定一种有效且安全的传输例外情况的方式。