Nella puntata precedente abbiamo presentato il nuovo documento del NIST (pdf, 9,5 M o pdf zip7,5 M) dedicato ai manager. Analizziamo in questa puntata il capitolo dedicato all'Information Security Governance. Nella terza ed ultima puntata presenteremo il capitolo dedicato al Risk Management.

Information Security Governance

L’Information Security Governance è il processo volto a:

• allineare le strategie di information security rispetto agli obiettivi di business;
• assicurare la conformità dell’IT alle normative per mezzo di politiche e di controlli interni;
• assegnare le corrette responsabilità nella gestione dei rischi IT.

Componenti

Le componenti chiavi dell’Information Security Governance sono:

• strategic planning;
• organizational design e development;
• ruoli e responsibilità;
• integrazione con l’architecture globale IT;
• documentazione degli obiettivi di sicurezza per mezzo di policy e linee guida.

Monitoring

Il monitoraggio dei controlli è un’attività fondamentale e trasversale alle componenti sonora indedicate. Essa a sua volta si compone di:

• Plans of Action and Milestones (POA&M);
• Measurement e Metrics;
• Continuous Assessment;
• Configuration Management;
• Network Monitoring;
• Gestione degli incidenti.

Fine seconda parte.
Leggi la prima parte.

IsacaRoma Newsletter link

Altri articoli di Alain De Cristofaris

• NIST: Information Security Handbook: A Guide for Managers (parte prima)
• Intervista a Giampaolo Scafuro, vicepresidente di IISFA, musicista, organizzatore di "SecurPizza"
• Security Manager: il curriculum perfetto
• Security Manager: il curriculum perfetto – parte seconda
• Sicurezza e Compliance: quando il gioco si fa duro