사용 중인 브라우저에서 JavaScript를 지원하지 않습니다.

자주 묻는 질문(FAQ)

정보 보안 FAQ

ITRM(정보 기술 리소스 관리) 정책은 어디에서 찾을 수 있나요?

영연방 정책, 표준 및 가이드라인은 정책 $ 거버넌스 섹션의 ITRM 정책, 표준 & 가이드라인에서 확인할 수 있습니다.

대행사 대표가 소속 기관의 보안에 대한 책임이 있나요?

예, 기관의 정보 기술 시스템 및 데이터 보안에 대한 최종 책임은 궁극적으로 기관장에게 있습니다.

기관장에게 구체적으로 어떤 보안 책임이 있나요?

IT 정보 보안 표준(SEC501-10.1) PDF "주요 정보 보안 역할 및 책임" 에 따른 기관장의 구체적인 책임은 다음과 같습니다:

기관의 정보 보안 책임자(ISO)를 격년으로 지정합니다.

기관의 IT 시스템을 보호하기에 충분한 기관 정보 보안 프로그램이 유지되고 있는지, 문서화되어 효과적으로 전달되는지 확인합니다.

해당되는 경우 IT 재해 복구 계획을 포함하도록 기관의 비즈니스 영향 분석(BIA), 위험 평가(RA) 및 운영 연속성 계획(COOP)을 검토하고 승인합니다.

민감한 것으로 분류된 모든 기관의 IT 시스템에 대한 시스템 보안 계획을 검토하고 승인합니다.

정보 보안 감사 프로그램이 수립되었는지 확인합니다. 참고: 감사 프로그램 규정 준수에 관한 기관장의 구체적인 책임에 대해서는 IT 보안 감사 표준(COV ITRM 표준 SEC502-00)을 참조하세요.

정보 보안 프로그램 프로그램이 수립되었는지 확인합니다.

정보 보안 인식 및 교육 프로그램이 수립되었는지 확인합니다.

직원들이 IT 시스템 및 데이터 보안에 대한 책임을 수행할 수 있도록 리소스를 제공하세요.

각 기관의 민감한 시스템에 대한 시스템 소유자(일반적으로 비즈니스 소유자)를 식별합니다.

정보 보안 책임자, 시스템/데이터 소유자 및 시스템 관리자의 업무 분리라는 보안 개념을 준수하여 이해 상충을 방지합니다.

데이터 침해는 반드시 최고정보보안책임자에게 보고해야 합니다. (행정부 기관에만 해당됩니다.)

기관장은 다른 사람에게 어떤 보안 책임을 위임할 수 있나요?

기관장은 다음을 제외한 모든 정보 보안 책임을 위임할 수 있습니다:

정보 보안 책임자 지정하기.

정보 보안 프로그램의 실행을 보장합니다.

감사 프로그램 구현을 보장합니다.

참고: 위임받은 당사자는 최고정보보안책임자에게 이메일을 제출할 때 기관의 책임자를 복사해야 합니다.

정보 보안 책임자(ISO)는 어떻게 지정하나요?

ISO는 기관장이 2년마다 최고정보보안책임자(CISO)에게 ISO 및 예비 ISO의 이름, 직책, 연락처 정보를 제출하여 지정합니다. 자세한 내용은 IT 정보 보안 표준(SEC501-10.1) PDF "주요 정보 보안 역할 및 책임" 을 참조하세요.

이메일로 제출하는 경우 대행사 대표가 아닌 다른 사람이 대리인을 복사한 경우 제출이 수락됩니다.

감사 계획을 작성하여 제출하려면 어떻게 해야 하나요?

기관 정보 기술(IT) 보안 감사 계획은 IT 보안 감사 표준(SEC 502) "IT 보안 감사 계획" 및 IT 보안 감사 지침(SEC 512.00) "IT 보안 감사 계획" 에 제시된 방향에 따라 개발해야 합니다. IT 보안 감사 계획 템플릿을 사용하여 계획을 작성하세요.

기관장 또는 지정인은 매년 감사 계획을 최고 정보 보안 책임자(CISO)에게 제출해야 합니다. 대리인이 제출물을 이메일로 제출하는 경우 기관장에게 복사본을 보내야 합니다.

시정 조치 계획(CAP)을 작성하여 제출하려면 어떻게 해야 하나요?

기관 정보 기술(IT) 보안 시정 조치 계획은 IT 보안 감사 표준(SEC 502) "IT 보안 감사 문서" 및 IT 보안 감사 지침(SEC 512.00) "시정 조치 계획" 및 "CAP 주기적 보고" 에 제시된 지침에 따라 개발해야 합니다. 시정 조치 계획 템플릿을 사용하여 계획을 작성하세요.

기관장 또는 지정인은 시정 조치 계획을 분기별로 연방의 최고 정보 보안 책임자(CISO)에게 제출해야 합니다.

계획에 민감한 정보가 포함되어 있는 경우 CommonwealthSecurity@VITA.Virginia.Gov 으로 이메일을 보내 효율적이고 안전하게 계획을 전송할 수 있는 방법을 찾는 데 도움을 요청하세요.

추가 애플리케이션, 네트워크 드라이브 등에 액세스하려면 어떻게 해야 하나요?

네트워크 환경에서 애플리케이션, 네트워크 드라이브 등에 대한 추가 액세스가 필요한 경우 기관 정보 기술 담당자(AITR) 또는 정보 보안 담당자(ISO)가 VITA 고객 관리 센터(VCCC)에 이메일 (vccc@vita.virginia.gov)로 요청을 보내도록 하세요.

조직/주에서 보안 인식 교육에 "보안의 힘" 동영상을 사용할 수 있나요?

정보 보안 인식 제고를 위한 노력에 "보안의 법칙" 동영상을 자유롭게 활용하시기 바랍니다. 저희 제품을 귀사의 프로그램에 추가할 만큼의 가치를 인정해 주셔서 기쁩니다.

커먼웰스 보안 및 위험 관리(CS/RM)의 연락처 정보는 어떻게 되나요?

커먼웰스 보안 및 위험 관리팀은 다음 방법으로 연락할 수 있습니다:

Mail: 버지니아 정보 기술 기관, 최고 정보 보안 책임자, 버지니아 주 리치몬드 7325 보폰트 스프링스 드라이브 23225

이메일: commonwealthsecurity@vita.virginia.gov.

정보 보안 사고가 의심되는 경우 어떻게 해야 하나요? 또는 알려진 보안 사고를 제출하려면 어떻게 해야 하나요?

의심되거나 알려진 보안 인시던트를 제출하는 방법은 크게 두 가지입니다. 보안 인시던트를 제출하는 한 가지 방법은 여기에 있는 온라인 신고 양식을 작성하는 것입니다: 사이버 인시던트 신고하기.

보안 인시던트를 제출하는 두 번째 방법은 1-866-637-8482번으로 VITA 고객 관리 센터(VCCC)에 전화하는 것입니다. VCCC는 IT 파트너십 기관과 비IT 파트너십 기관 모두에 대한 보안 사고 보고서를 접수합니다.

지침을 받을 때까지 컴퓨터를 만지거나 전원을 끄지 않아야 합니다.

정보 보안 표준에 대한 예외를 작성하여 제출하려면 어떻게 해야 하나요?

기관장은 정보보안 기준의 조항을 준수하는 것이 기관의 업무 프로세스에 부정적인 영향을 미칠 수 있다고 판단하는 경우, 정보보안 최고책임자에게 예외 요청서를 제출하여 특정 요건에서 벗어날 수 있도록 승인을 요청할 수 있습니다. COV 보안 표준 예외 양식을 사용하여 예외를 제출하세요.

예외 요청은 최고 정보 보안 책임자(CISO)에게 제출해야 합니다. 제출물이 이메일로 전송되는 경우, ISO는 이메일을 발송하고 기관장에게 사본을 보낼 수 있습니다.

예외에 민감한 정보가 포함된 경우 이메일( CommonwealthSecurity@VITA.Virginia.Gov )로 문의하여 효율적이고 안전하게 예외를 전송할 수 있는 방법을 찾는 데 도움을 요청하세요.