政府信息安全

挑战

诊断:Egovernment疼痛点

  • 有效地利用和展示符合广泛的重叠和暧昧的政府和行业标准(例如,Fedramp,Fisma,Nist,PCI,PII,HIPAA)。
  • 管理与日益增长的需求相关的第三方风险与供应商,私营企业,成分和其他机构共享敏感数据。
  • Ensuring that new eGov initiatives fully achieve information security objectives via effective 安全认证&认证努力。
  • 挫败恶意攻击,针对个人和敏感的政府信息的财富。
解决方案

信息保证“处方”

解决政府信息安全的独特挑战需要一种独特而灵活的方法。

合规简化

更重要的是在其他部门中,特定倡议定义了EGOV参与的物理和逻辑范围:

  • PII(或NIST或HIPAA或PCI)差距评估 - 是我们环境的设计与相关指导一致吗?
  • ISO 27002.差距评估 - 利用27002的好处:是我们的环境设计与HIPAA,PCI,NIST和PII指导一致吗?
  • 评估支持漏洞评估和渗透测试确保纳入净安全目标。

优化衡量规模(例如,机构,位置,应用程序)和范围(例如,800-53,OWASP)的参与至关重要,以实现所需的具体保证。

第三方风险简化

我们的第三方风险管理实践确保:

  • 第三方安全风险和识别要求并沟通。
  • 协议随着业务,技术和威胁而发展。
  • 监测机制确保第三方实现了目标。
  • 确认安全事件,回复并从中学习。

以这种方式管理机构内风险通常有效地崩溃了经常使政府举措复杂化的“信息孤岛”。

安全认证&认证简化了

政府对私营部门的潜在影响违反了私营部门的人,需要全面的方法:

  • 需求阶段期间的需求差距评估,以确保安全要求足以实现安全性和合规性目标。
  • 设计阶段设计差距评估,以确保系统设计完全符合指定的要求。
  • 安全认证&认证活动先前的T0部署,以确保实施与设计一致,支持组织元素到位。
  • 在运营阶段监测和正在进行的风险管理,以确保维持安全和遵守态度。

大多数SC.&活动利用NIST 800-37,NIST 800-53A的一些变体,欧平安以及所需的信息特定指导。 (e,g,hipaa,pii)

安全事件预防/响应简化

网络安全事件基本上是信息安全风险 - 实现。因此,预防是一种风险管理功能,需要一种整体方法,以确保支持支持这些进程的信息和资产(服务器,网络,应用程序,人员,设施)的过程的安全性。

  • 安全数据流图(SDFD) - 识别在环境中敏感信息的每个点处所需的严重风险和所需的安全控制。
  • 风险评估 - SDFD可以很容易地扩展到正式风险评估(例如,NIST 800-30,Octave,ISO27005),以确保确定并减轻所有临界风险并减轻可接受的水平。
  • 正式的SC.&活动 - 利用项目生命周期的每个阶段的适当活动,以确保有效管理风险(例如,设计审查,政策开发,Web应用程序安全评估,网络架构评估,社会工程,事件响应计划)
  • 解决方案监控 - 确保监测临界日志根据正式的事件响应计划提供早期检测和响应,以尽量减少网络事件的影响。
为什么pps.

为什么与枢轴点安全合作?

枢轴点安全具有信息安全/合规域专业知识,政府知识和经验的合适组合,以及组织性格,帮助您在最佳行动方面定义和执行以了解您的安全性并证明您合规。

  • 域名专业知识意味着我们知道福斯卡,NIST,PCI,HIPAA,PII等法规的INS和推出,您需要遵守。这也意味着我们是安全框架(NIST 800-37,NIST 800-53,ISO27002,OWASP,FIPS-199)的专家,应该构成信息安全管理系统的基础。
  • 政府经验意味着您不必花时间向我们解释为什么常规威胁和风险验收标准并不相关,或者描述协调采取全面方法所需的资源和共识的挑战(类似于掌握猫)。
  • 组织性格意味着我们有能力以透明和直截了当的方式做好,以至于你会欣赏。

枢轴点安全是您的一个很好的选择信息安全需求.

代表政府客户

查看更多代表政府客户枢轴点安全

nyc_logo. 苏塞克斯-NJ. Woodbridge-TWP.

政府

罗伯托

他记得“信息安全”确保错误的人没有获得主框架打印输出。

他致力于将县迁移到21世纪。

他需要帮助。

阅读更多