证明您符合关键利益相关者

信息安全管理系统

信息安全管理系统 (ISMS)咨询服务帮助组织设计,实施和运营一组连贯的政策,标准和程序(PSP),以管理其风险信息资产。虽然ISO-27001是ISMS概念最着名的推动者,但可以在其他领导IT控制框架中找到ISMS的想法,包括COBIT(最符合危险的风险)和FISMA / NIST(最值得注意的是SP 800- 39)。 PPS的ISMS实践区地址isms的三个关键生命周期阶段:

  • 策略:我们应该考虑哪些框架?我们需要提供哪些证明哪些利益相关者?我们应该与自己对齐什么标准?如果全世界滚动这一点,这个过程会看起来像什么?我们需要设计哪些内部/外部资源,实现它,证明它,操作它并验证呢?
  • 实施:我们采用哪些风险评估方法?我们如何发展风险待遇计划?如何最好地评估当前与所需状态?我们如何利用安全指标知道我们正在实现KPI的呢?
  • 操作:我们如何发展ISMS的范围来解决其他关键系统或不同地点?我们如何独立/客观地验证ISM的操作?我们如何为像董事会和客户那样提供保证/证明的利益攸关方?在实现风险之前,我们如何管理和学习发生事件?
ISO 27001.

ISO 27001.:国际标准化组织(ISO)颁布的信息安全管理系统(ISMS)标准。它是ISM的正式规范,因为它已授权需要到位的特定控制集。因此,声称已采用27001年的组织可以正式审计和认证符合标准。这种能够证明ISM的操作,使得27001独特,并使其成为信息安全程序的设计和操作的独立证明形式。

ISO 27002.

ISO 27002.:(以前是ISO 17799)安全控制的“集合”(通常被称为最佳实践),通常用作“安全标准”。根据定义,审计(或评估)与标准相比。虽然27002不是标准的本身 - 它通常使用这种方式。假设您的信息安全管理系统的设计和/或操作是“与”(例如,没有显着的差距),可以说您的环境是“符合标准”的。

Fedramp.

Fedramp:联邦风险和授权管理方案(FEDRAMP)是美国政府计划,该计划确定了一个标准化的方法,用于验证云服务提供商是“安全”。符合FEDRAMP要求的组织被认为是“授权运营”(ATO),这实际上意味着他们是希望购买云服务的联邦机构的“预批准的”供应商。额外代理商不需要额外的安全验证来购买这些服务。

共享评估

共享评估: 通过基于ISO 27002标准的标准化问卷提供了对组织对其控件的执行的评估,其中包括共享评估计划成员的额外输入。该方法更加严格地定义(例如,答案是肯定的,否或不适用,使得完成的SIG易于读取的机器。原始想法是服务提供商可以刚刚只完成SIG,然后提供完成的SIG多个客户端。

HIPAA合规性

HIPAA: 1996年的健康保险便携性和问责法(HIPAA)对所有涵盖实体(CE)的商业行为和政策有了重大改变。与许多其他监管问题一样,HIPAA在很大程度上是对强大的控制环境的调用,重点关注必要的安全保障,以确保患者的安全性。与普遍认为,HIPAA安全合规的成就并不依赖于复杂的技术解决方案和策略,而是更简单的人和以过程为导向的控制环境问题

赫特格认证

抵押: 专注于提供一系列交叉映射的规范控制,并参考与医疗保健有关的标准和法规,以简化进程,以简化符合相关法律法规的过程,并减轻典型医院对可接受水平的大多数风险。过度简化的视图是居住是假定的风险和合规性要求的一组预定义控件 - 具有映射的IT-GRC。它是一个在一个盒子里的预先定制的CSF。通过在很大程度上定义的风险和风险处理,居住在ISO 27001上有优势。

业务连续性管理

业务连续性管理:在其最简单的业务连续性管理中,确保关键业务流程和资源仍然可用(或者可以迅速恢复),以确保持续实现批判组织目标。

逻辑的业务连续性子集是信息连续性(AKA;灾难恢复),其专注于确保可用的关键信息技术资源。我们的业务/信息技术连续性实践基于领先标准,包括; ISO-27031,ISO-22301,& NIST 800-34.

支付卡行业(PCI)

付款卡业:支付卡行业数据安全标准(PCI DSS)是处理主要借记卡和信用卡持卡人信息的组织的信息安全标准。它旨在增加持卡人数据的控制,以减少信用卡欺诈。遵守合规性的验证是每年完成的,由外部合格的安全评估员(QSA)用于处理大量交易的组织,或通过自我评估问卷(SAQ),用于处理较小的卷的公司。

NIST

nist框架: 识别可能适用于智能电网的开发的75个现有标准。 NIST的使命是通过提高经济安全的方式推广测量科学,标准和技术来推广美国创新和工业竞争力,提高我们的生活质量。