Organisasjoner vedtar ofte en ramme for sikkerhetskontroll for å bistå i deres lovlige og lovgivningsmessige samsvar. Noen eksempler på relevante sikkerhetsrammer inkluderer følgende:
- COBIT. Utviklet av ITACA og IT Governance Institute (ITGI), består COBIT av flere komponenter, inkludert
- Framework. Organiserer IT-styringsmål og beste praksis.
- Prosessbeskrivelser. Gir en referansemodell og felles språk.
- Kontrollmål. Dokumenter krav til styring på høyt nivå for kontroll av individuelle IT-prosesser.
- Ledelsesretningslinjer. Verktøy for å tildele ansvar, måle ytelse og illustrere forhold mellom prosesser.
- Modenhetsmodeller. Vurder organisatorisk modenhet / evne og adresselukker.
Koblingsrammen er populær i organisasjoner som er underlagt Sarbanes-Oxley-loven.
- NIST (Nasjonalt institutt for standarder og teknologi) Spesialpublikasjon 800-53: Sikkerhets- og personvernkontroller for føderale informasjonssystemer og organisasjoner. Kjent som NIST SP800-53, dette er et veldig populært og omfattende kontrollramme som kreves av alle amerikanske myndigheter. Det er også mye brukt i privat industri.
- COSO (Kommisjonen for sponsororganisasjoner av Treadway Commission). Utviklet av Institute of Management Accountants (IMA), American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Institute of Internal Auditors (IIA), og Financial Executives International (FEI), COSO-rammeverket består av fem komponenter:
- Kontrollmiljø. Gir grunnlaget for alle andre interne kontrollkomponenter.
- Risikovurdering. Oppretter mål gjennom identifisering og analyse av relevante risikoer og bestemmer om noe vil hindre at organisasjonen oppfyller sine mål.
- Kontrollaktiviteter. Politikker og prosedyrer som er opprettet for å sikre overholdelse av styringsdirektiver. Ulike kontrollaktiviteter diskuteres i de andre kapitlene i denne boken.
- Informasjon og kommunikasjon. Sikrer passende informasjonssystemer og effektive kommunikasjonsprosesser er på plass i hele organisasjonen.
- Monitoring. Aktiviteter som vurderer ytelsen over tid og identifiserer mangler og korrigerende tiltak.
- ISO / IEC 27002 (International Organization for Standardization / International Electrotechnical Commission). Formell tittel "Informasjonsteknologi - Sikkerhetsteknikker - Kode for praksis for informasjonssikkerhetsadministrasjon". ISO / IEC 27002 dokumenterer sikkerhetspraksis i 14 domener som følger:
- Informasjonsikkerhetspolitikk
- Organisering av informasjonssikkerhet < Personlig sikkerhet
- Asset management
- Tilgangskontroll og administrasjon av brukertilgang
- Kryptografisk teknologi
- Fysisk sikkerhet for organisasjonens nettsteder og utstyr
- Operativ sikkerhet
- Sikker kommunikasjon og dataoverføring > Systemoppkjøp, utvikling og støtte av informasjonssystemer
- Sikkerhet for leverandører og tredjeparter
- Informasjons sikkerhetshendelsehåndtering
- Informasjonssikkerhetsaspekter ved driftskontinuitet
- Overholdelse
-
- ITIL (Information Technology Infrastructure Library).
- Servicestrategi. Adresser IT-tjenester, strategihåndtering, serviceporteføljeadministrasjon, IT-tjenester økonomisk styring, etterspørselshåndtering og forretningsforvaltning.
- Service Design. Adresser for designkoordinering, servicekatalogadministrasjon, servicenivåadministrasjon, tilgjengelighetsadministrasjon, kapasitetsadministrasjon, IT-service kontinuitetsstyring, informasjonssikkerhetsstyringssystem og leverandørstyring.
- Serviceovergang. Adresser overgangsplanlegging og support, endringsledelse, tjenestefordeling og konfigurasjonsbehandling, utgivelse og distribusjonsadministrasjon, servicevalidering og testing, endring av evaluering og kunnskapshåndtering.
- Servicevirksomhet. Adresser hendelsesadministrasjon, hendelsesbehandling, oppfyllelse av serviceforespørsel, problemstyring og tilgangshåndtering.
- Kontinuerlig serviceforbedring. Definerer en syv-trinns prosess for forbedringsinitiativer, herunder å identifisere strategien, definere hva som måles, samle dataene, behandle dataene, analysere informasjonen og dataene, presentere og bruke informasjonen og implementere forbedringen.
