Ho una domanda sulla guida in NIST 800-53.
I controlli PM-1 in NIST 800-53 richiedono un piano di sicurezza delle informazioni. Questo piano include generalmente tutte le politiche di sicurezza delle informazioni dell'organizzazione (controlli comuni)? Il piano di sicurezza delle informazioni potrebbe essere considerato la politica di sicurezza delle informazioni?
La tua sicurezza delle informazioni Norme è diversa dalla tua Sicurezza delle informazioni Piano :
Il Piano di sicurezza delle informazioni dovrebbe includere tutte le azioni richieste per l'implementazione a livello aziendale della politica di sicurezza delle informazioni . Sebbene i due siano strettamente legati, sono anche documenti separati.
Un solido piano di sicurezza delle informazioni comprenderà in genere diverse fasi, a seconda dell'infrastruttura esistente, della topologia della rete / dei sistemi e della configurazione. Potrebbero essere necessarie diverse fasi tecniche distinte per implementare i controlli di sicurezza richiesti senza gravi interruzioni del servizio. Questo è interamente soggettivo, e dipende da te, il Security Engineer, da immaginare.
Se la tua organizzazione richiede la conformità con NIST 800-53, la parola chiave è richiesta : la tua organizzazione dovrà mostrare la prova della Due Diligence e l'implementazione di tutti i richiesti articoli e tutti gli elementi "suggeriti" o "consigliati" quanto tecnicamente possibile / fattibile.
Buona fortuna!
Leggi altre domande sui tag corporate-policy nist