Organisaties hanteren vaak een beveiligingscontrolekader om te helpen bij hun wettelijke en regelgevende compliance-inspanningen. Enkele voorbeelden van relevante beveiligingskaders zijn:
- COBIT. COBIT is ontwikkeld door de Association Audit and Control Association (ISACA) en het IT Governance Institute (ITGI) en bestaat uit verschillende componenten, waaronder
- Framework. Organiseert doelstellingen en best practices voor IT-governance.
- Procesbeschrijvingen. Biedt een referentiemodel en een gemeenschappelijke taal.
- Besturingsdoelen. Documenten op hoog niveau voor beheervereisten voor het beheer van individuele IT-processen.
- Managementrichtlijnen. Hulpmiddelen voor het toewijzen van verantwoordelijkheid, het meten van prestaties en het illustreren van relaties tussen processen.
- Volwassenheidsmodellen. Evalueer de volwassenheid / mogelijkheden van de organisatie en kort de lacunes aan.
Het COBIT-raamwerk is populair in organisaties die onder de Sarbanes-Oxley-wet vallen.
- NIST (National Institute for Standards and Technology) Speciale publicatie 800-53: Beveiligings- en privacycontroles voor federale informatiesystemen en organisaties. Bekend als NIST SP800-53, dit is een zeer populair en uitgebreid besturingsmechanisme dat wordt vereist door alle Amerikaanse overheidsinstanties. Het wordt ook veel gebruikt in de particuliere industrie.
- COSO (Comité van Sponsoring Organizations of the Treadway Commission). Ontwikkeld door het Institute of Management Accountants (IMA), de American Accounting Association (AAA), het American Institute of Certified Public Accountants (AICPA), het Institute of Internal Auditors (IIA) en Financial Executives International (FEI), het COSO-framework bestaat uit vijf componenten:
- Controleomgeving. Biedt de basis voor alle andere interne besturingscomponenten.
- Risicobeoordeling. Bepaalt doelstellingen door identificatie en analyse van relevante risico's en bepaalt of iets de organisatie zal verhinderen haar doelstellingen te bereiken.
- Controleactiviteiten. Beleid en procedures die zijn opgesteld om te zorgen voor naleving van managementrichtlijnen. Verschillende controleactiviteiten worden besproken in de andere hoofdstukken van dit boek.
- Informatie en communicatie. Zorgt ervoor dat de juiste informatiesystemen en effectieve communicatieprocessen in de hele organisatie aanwezig zijn.
- Monitoring. Activiteiten die de prestaties in de tijd beoordelen en tekortkomingen en corrigerende maatregelen vaststellen.
- ISO / IEC 27002 (Internationale Organisatie voor Standaardisatie / Internationale Elektrotechnische Commissie). Officieel getiteld "Informatietechnologie - Beveiligingstechnieken - Gedragscode voor informatiebeveiligingsbeheer", documenteert ISO / IEC 27002 de beste beveiligingspraktijken in 14 domeinen, als volgt:
- Informatiebeveiligingsbeleid
- Organisatie van informatiebeveiliging < Human Resource Security
- Asset management
- Toegangscontrole en beheer van gebruikerstoegang
- Cryptografische technologie
- Fysieke beveiliging van de sites en apparatuur van de organisatie
- Operationele beveiliging
- Beveiligde communicatie en gegevensoverdracht > Systeemverwerving, ontwikkeling en ondersteuning van informatiesystemen
- Beveiliging voor leveranciers en derden
- Beheer van informatiebeveiligingsincidenten
- Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
- Naleving
-
- ITIL (Information Technology Infrastructure Library).
- Servicestrategie. Adressering van IT-servicestrategiebeheer, serviceportfoliobeheer, financieel beheer van IT-services, vraagbeheer en beheer van zakelijke relaties.
- Serviceontwerp. Adressen voor ontwerpcoördinatie, servicecatalogusbeheer, serviceniveaubeheer, beschikbaarheidsbeheer, capaciteitsbeheer, IT-servicecontinuïteitsbeheer, informatiebeveiligingsbeheersysteem en leveranciersbeheer.
- Servicetransitie. Adapteer transitieplanning en -ondersteuning, wijzigingsbeheer, serviceactiva en configuratiebeheer, release- en implementatiebeheer, servicevalidatie en -tests, wijzigingsevaluatie en kennisbeheer.
- Serviceproductie. Adressering van gebeurtenisbeheer, incidentbeheer, uitvoering van serviceaanvragen, probleembeheer en toegangsbeheer.
- Continue serviceverbetering. Definieert een proces in zeven stappen voor verbeteringsinitiatieven, waaronder het bepalen van de strategie, het definiëren van wat gemeten zal worden, het verzamelen van de gegevens, het verwerken van de gegevens, het analyseren van de informatie en gegevens, het presenteren en gebruiken van de informatie en het implementeren van de verbetering.