सूचना सुरक्षा से जुड़े अक्सर पूछे जाने वाले सवाल
कॉमनवेल्थ नीतियों, मानकों, और दिशा-निर्देशों के लिए नीति $ गवर्नेंस सेक्शन में ITRM नीतियां, मानक & दिशानिर्देश देखे जा सकते हैं।
हाँ, एजेंसी के प्रमुख की ज़िम्मेदारी एजेंसी के सूचना टेक्नोलॉजी सिस्टम और डेटा की सुरक्षा की होती है।
आईटी सूचना सुरक्षा मानक (SEC501-10.1) PDF " के अनुसार एजेंसी प्रमुख की ख़ास ज़िम्मेदारियाँ और ज़िम्मेदारियाँ ", ये हैं:
हर साल एजेंसी के लिए सूचना सुरक्षा अधिकारी (ISO) नामित करें।
पक्का करें कि एजेंसी का सूचना सुरक्षा प्रोग्राम बना रहे, जो एजेंसी के IT सिस्टम की सुरक्षा के लिए पर्याप्त हो, और उसका दस्तावेजीकरण किया जाए और उसे प्रभावी ढंग से संप्रेषित किया जाए।
अगर लागू हो, तो आईटी डिजास्टर रिकवरी प्लान को शामिल करने के लिए एजेंसी के बिज़नेस इम्पैक्ट एनालिसिस (BIA), जोखिम आकलन (RA) और संचालन की निरंतरता योजना (COOP) की समीक्षा करें और उन्हें मंज़ूरी दें।
संवेदनशील के तौर पर वर्गीकृत सभी एजेंसी आईटी सिस्टम के लिए सिस्टम सुरक्षा प्लान की समीक्षा करें और उन्हें मंज़ूरी दें।
पक्का करें कि सूचना सुरक्षा ऑडिट प्रोग्राम स्थापित हो। ध्यान दें: कृपया ऑडिट प्रोग्राम अनुपालन के संबंध में एजेंसी प्रमुख की खास ज़िम्मेदारियाँ के लिए IT सुरक्षा ऑडिट मानक (COV ITRM Standard SEC502-00) देखें।
सुनिश्चित करें कि सूचना सुरक्षा प्रोग्राम का कोई प्रोग्राम स्थापित हो।
सुनिश्चित करें कि सूचना सुरक्षा के प्रति जागरूकता और प्रशिक्षण प्रोग्राम स्थापित हो।
कर्मचारियों को आईटी सिस्टम और डेटा सुरक्षित रखने की ज़िम्मेदारियाँ निभाने के लिए संसाधन उपलब्ध कराएँ।
एजेंसी के प्रति संवेदनशील सिस्टम के लिए, सिस्टम के मालिक, आम तौर पर, बिज़नेस के मालिक को पहचानें।
सूचना सुरक्षा अधिकारी, सिस्टम/डेटा मालिकों और सिस्टम एडमिनिस्ट्रेटर के लिए कर्तव्य अलग करने की सुरक्षा अवधारणा का पालन करके हितों के टकराव को रोकें।
पक्का करें कि डेटा उल्लंघनों की सूचना मुख्य सूचना सुरक्षा अधिकारी को दी जाए। (यह सिर्फ़ कार्यकारी ब्रांच एजेंसियों के लिए लागू है।)
एजेंसी प्रमुख सूचना सुरक्षा की सभी ज़िम्मेदारियाँ सौंप सकते हैं, इनमें से कुछ को छोड़कर:
सूचना सुरक्षा अधिकारी नामित करना।
सूचना सुरक्षा प्रोग्राम का कार्यान्वयन सुनिश्चित करना।
कार्यान्वयन को सुनिश्चित करना एक ऑडिट प्रोग्राम है।
ध्यान दें: डेलिगेटेड पार्टी को मुख्य सूचना सुरक्षा अधिकारी को ईमेल सबमिशन पर एजेंसी हेड की कॉपी करनी होगी।
ISO को एजेंसी प्रमुख द्वारा द्विवार्षिक रूप से मुख्य सूचना सुरक्षा अधिकारी (CISO) को ISO और बैक-अप ISO नाम, टाइटल और संपर्क जानकारी सबमिट करके निर्दिष्ट किया जाता है। ज़्यादा जानकारी के लिए आईटी सूचना सुरक्षा मानक (SEC501-10.1) PDF " मुख्य सूचना सुरक्षा भूमिकाएँ और ज़िम्मेदारियाँ " देखें।
अगर ईमेल से सबमिशन भेजा जाता है, तो एजेंसी प्रमुख के अलावा किसी और की ओर से सबमिटल स्वीकार किया जाएगा, अगर एजेंसी प्रमुख को कॉपी किया जाता है।
आपकी एजेंसी सूचना प्रौद्योगिकी (IT) सुरक्षा ऑडिट प्लान, IT सुरक्षा ऑडिट स्टैण्डर्ड (SEC 502) ", IT सुरक्षा ऑडिट के लिए योजना " और IT सुरक्षा ऑडिट गाइडलाइन (SEC 512.00) " IT सुरक्षा ऑडिट प्लान " में दिए गए निर्देशों के आधार पर तैयार किया जाना चाहिए। कृपया अपनी योजना को पूरा करने के लिए आईटी सुरक्षा ऑडिट प्लान टेम्पलेट का इस्तेमाल करें।
एजेंसी के प्रमुख या डिज़ाइनर को हर साल ऑडिट प्लान मुख्य सूचना सुरक्षा अधिकारी (CISO) को सबमिट करना होगा। अगर सबमिटल को डिज़ाइनर ईमेल करता है, तो एजेंसी प्रमुख को कॉपी किया जाना चाहिए।
आपकी एजेंसी सूचना प्रौद्योगिकी (आईटी) सुरक्षा सुधारात्मक कार्य योजना आईटी सुरक्षा ऑडिट स्टैण्डर्ड 502(SEC) ", IT सुरक्षा ऑडिट के दस्तावेजीकरण " और IT सुरक्षा ऑडिट दिशानिर्देश (SEC)512.00 " करेक्टिव एक्शन प्लान " और " CAP में दिए गए निर्देशों के आधार पर बनाई जानी चाहिए समय-समय पर रिपोर्टिंग "। कृपया अपनी योजना को पूरा करने के लिए सुधारात्मक कार्य योजना टेम्पलेट का इस्तेमाल करें।
एजेंसी के प्रमुख या डिज़ाइनर को कॉमनवेल्थ के मुख्य सूचना सुरक्षा अधिकारी (CISO) को त्रैमासिक रूप से सुधारात्मक कार्य योजना सबमिट करनी होगी।
अगर प्लान में संवेदनशील जानकारी है, तो योजना को ट्रांसमिट करने के कुशल और सुरक्षित तरीके की पहचान करने में सहायता का अनुरोध करने के लिए CommonwealthSecurity@VITA.Virginia.Gov पर ईमेल करें ।
कृपया जानकारी सुरक्षा के प्रति जागरूकता के प्रयासों में " Duhs of Security " वीडियो का बेहिचक इस्तेमाल करें। हमें खुशी है कि आपको हमारे प्रॉडक्ट को अपने प्रोग्राम में जोड़ने के लिए उसे पर्याप्त मूल्य मिला।
कॉमनवेल्थ सुरक्षा और जोखिम प्रबंधन से इन तरीकों से संपर्क किया जा सकता है:
मेल: मुख्य सूचना सुरक्षा अधिकारी, वर्जीनिया इंफॉर्मेशन टेक्नोलॉजीज एजेंसी, 7325 ब्यूफ़ॉन्ट स्प्रिंग्स ड्राइव, रिचमंड, VA 23225
किसी संदिग्ध या ज्ञात सुरक्षा घटना को सबमिट करने के दो प्राथमिक तरीके हैं। सुरक्षा से जुड़ी जानकारी सबमिट करने का एक तरीका यह है कि यहां मौजूद ऑनलाइन रिपोर्टिंग फ़ॉर्म को पूरा किया जाए: साइबर घटना की रिपोर्ट करें।
सुरक्षा संबंधी जानकारी सबमिट करने का दूसरा तरीका है वीटा कस्टमर केयर सेंटर (VCCC) को 1-866-637-8482 पर कॉल करना। VCCC, आईटी पार्टनरशिप और नॉन-आईटी पार्टनरशिप एजेंसियों, दोनों के लिए सुरक्षा घटनाओं की रिपोर्ट स्वीकार करेगा।
यह ज़रूरी है कि जब तक आपको निर्देश न मिले तब तक आप कंप्यूटर को टच या ऑफ़ न करें।
अगर कोई एजेंसी प्रमुख यह निर्धारित करता है कि सूचना सुरक्षा मानकों के प्रावधानों का अनुपालन एजेंसी की बिज़नेस प्रक्रिया पर प्रतिकूल प्रभाव डालेगा, तो एजेंसी प्रमुख मुख्य सूचना सुरक्षा अधिकारी को अपवाद अनुरोध सबमिट करके किसी खास आवश्यकता से अलग होने के लिए अनुमोदन का अनुरोध कर सकते हैं। कृपया अपवाद प्रस्तुत करने के लिए COV सुरक्षा मानक अपवाद प्रपत्र का उपयोग करें।
अपवाद का अनुरोध मुख्य सूचना सुरक्षा अधिकारी (CISO) को सबमिट किया जाना चाहिए। अगर सबमिशन ईमेल से भेजा जाता है, तो ISO ईमेल भेज सकता है और एजेंसी प्रमुख को कॉपी कर सकता है।
अगर अपवाद में संवेदनशील जानकारी है, तो CommonwealthSecurity@VITA.Virginia.Gov पर ईमेल करें, ताकि अपवाद को ट्रांसमिट करने के कुशल और सुरक्षित तरीके की पहचान करने में सहायता का अनुरोध किया जा सके।