Considerazioni sull'accordo di scambio di informazioni tra agenzie governative

Question

Considerazioni sull'accordo di scambio di informazioni tra agenzie governative

#1 da (8 voti)

2

Domanda: Quando si redige un accordo sullo scambio di informazioni tra agenzie governative, quali sezioni relative alla sicurezza dovrebbero essere considerate per l'inclusione? Accordi di esempio?

Qual è la prospettiva di sicurezza di un accordo di scambio di informazioni? Sfortunatamente la mia ricerca sull'argomento ha rivelato quasi nulla in una guida utile. La Sezione 6.2.3 (Affrontare la sicurezza negli accordi con terze parti) in SS-ISO / IEC 27002: 2005 non è completamente d'aiuto.

Oltre alla documentazione ISO ho letto diverse politiche di scambio di informazioni, ma nessuna sembra includere un vero accordo. Per lo più sembra ruotare attorno alle seguenti sezioni (i dettagli specifici rimangono nascosti alla vista):

Utilizzare un sistema di gestione della sicurezza delle informazioni "approvato" (ISMS)
Stabilire ruoli e responsabilità
Requisiti di riservatezza, integrità e disponibilità (... doh)
Piano di continuità operativa
Procedura / processi incidente

Gradirei qualsiasi guida, esperienza o conoscenza che potresti dover condividere riguardo alla mia domanda. A questo punto nel tempo quasi tutto è meglio di quello che ho che è vicino al nulla. (Punti per gli esempi!)

legal government corporate-policy

posta Christoffer 21.05.2013 - 13:12

fonte

1 risposta

Leggi altre domande sui tag legal government corporate-policy

E 'possibile memorizzare un apk di Android nella SIM card e installarlo da lì? Dischi di avvio per la rimozione dei virus: alcune domande

score 8 · Answer 1

In base alla mia esperienza in accordi di alto livello di qualsiasi tipo, è molto difficile inserire requisiti specifici relativi alla sicurezza a causa della sfida dei controlli di corrispondenza che organizzazioni diverse hanno in atto (cioè cercando di convincere l'altra parte a conformarsi alle specifiche standard)

Questo è il motivo per cui la maggior parte delle volte, vedrai la lingua attorno a cose come ISO2700x ISMS '. Questi formano una base comune in cui qualcuno può dire che l'altra parte ha un "ragionevole" livello di sicurezza in atto (con le solite avvertenze che si applicano come l'ambito dell'ISMS che corrisponde all'uso dei dati, ecc.)

A parte questo, direi che i principali requisiti di sicurezza che potresti prendere in considerazione dipendono da quanto sai sui dati specifici condivisi dal contratto.

Se sai ad esempio che una classe di dati condivisa deve essere utilizzata solo da un dipartimento specifico o da un individuo nell'altro governo, è qualcosa che varrebbe la pena aggiungere al contratto.

Avere anche una mappatura dei termini relativi a cose come la marcatura di protezione potrebbe essere utile per garantire che non vi siano errori di comprensione relativi alle informazioni condivise.