Organisationer vedtager ofte en sikkerhedskontrolramme til støtte for deres lovgivningsmæssige og lovgivningsmæssige overholdelse. Nogle eksempler på relevante sikkerhedsrammer omfatter følgende:
- COBIT. Udviklet af Information Systems Audit and Control Association (ISACA) og IT Governance Institute (ITGI) består COBIT af flere komponenter, herunder
- Framework. Organiserer it-styringsmål og bedste praksis.
- Procesbeskrivelser. Giver en referencemodel og fælles sprog.
- Kontrolmål. Dokumenter på højt niveau til forvaltningskrav til kontrol af individuelle it-processer.
- Ledelsesretningslinjer. Værktøjer til at tildele ansvar, måle ydeevne og illustrere forhold mellem processer.
- Modenhedsmodeller. Vurder organisatorisk modenhed / kapacitet og adresse huller.
COBIT-rammen er populær i organisationer, der er omfattet af Sarbanes-Oxley Act.
- NIST (National Institute for Standards and Technology) Specialudgave 800-53: Sikkerheds- og privatkontrol for føderale informationssystemer og organisationer. Kendt som NIST SP800-53, er dette en meget populær og omfattende kontrolramme, som kræves af alle amerikanske regeringsorganer. Det er også meget udbredt i den private industri.
- COSO (Udvalget for Sponsororganisationer for Treadway Commission). Udviklet af Institute of Management Accountants (IMA), American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Institute of Internal Auditors (IIA) og Financial Executives International (FEI), COSO-rammebestemmelserne består af fem komponenter:
- Kontrolmiljø. Giver grundlaget for alle andre interne styrekomponenter.
- Risikovurdering. Etablerer mål gennem identifikation og analyse af relevante risici og afgør, om noget vil forhindre organisationen i at opfylde sine målsætninger.
- Kontrolaktiviteter. Politikker og procedurer, der oprettes for at sikre overholdelse af forvaltningsdirektiver. Forskellige kontrolaktiviteter diskuteres i de øvrige kapitler i denne bog.
- Information og kommunikation. Sikrer passende informationssystemer, og der findes effektive kommunikationsprocesser i hele organisationen.
- Overvågning. Aktiviteter, der vurderer resultaterne over tid og identificerer mangler og korrigerende handlinger.
- ISO / IEC 27002 (International Organization for Standardization / International Electrotechnical Commission). Formelt titlen "Informationsteknologi - Sikkerhedsteknikker - Code of Practice for Information Security Management". ISO / IEC 27002 dokumenterer bedste praksis i sikkerhed på 14 domæner som følger:
- Informationssikkerhedspolitik
- Organisering af informationssikkerhed < Sikkerhed til menneskelige ressourcer
- Asset management
- Adgangskontrol og administration af brugeradgang
- Kryptografisk teknologi
- Fysisk sikkerhed for organisationens websteder og udstyr
- Driftssikkerhed
- Sikker kommunikation og dataoverførsel > Systemerhvervelse, udvikling og understøttelse af informationssystemer
- Sikkerhed for leverandører og tredjeparter
- Informationssikkerhedshændelsesstyring
- Informationssikkerhedsaspekter ved styring af forretnings kontinuitet
- Overholdelse
-
- ITIL (Information Technology Infrastructure Library).
- Servicestrategi. Adresser IT-tjenester, strategistyring, serviceporteføljestyring, it-tjenester økonomisk forvaltning, efterspørgselsstyring og forretningsforvaltning.
- Service Design. Adresser til designkoordinering, servicekatalogadministration, serviceniveauadministration, tilgængelighedsstyring, kapacitetsstyring, it-service kontinuitetsstyring, informationssikkerhedsstyringssystem og leverandørstyring.
- Serviceovergang. Adresser overgangsplanlægning og support, forandringsledelse, serviceaktiv og konfigurationsstyring, frigivelse og implementeringsstyring, servicevalidering og testning, ændring af evaluering og vidensstyring.
- Servicevirksomhed. Adresser til arrangementshåndtering, hændelsesstyring, opfyldelse af serviceanmodning, problemstyring og adgangshåndtering.
- Kontinuerlig serviceforbedring. Definerer en syv-trins proces til forbedringsinitiativer, herunder identifikation af strategien, definition af, hvad der måles, indsamling af data, behandling af data, analyse af oplysninger og data, præsentation og anvendelse af oplysningerne og gennemførelse af forbedringen.
