Los siguientes son los principales requisitos de gestión para la seguridad de la información en el marco principal de la gestión de riesgos de tecnología de la información ().
Las cinco opciones pertenecen a los principales requisitos de gestión de la seguridad de la información en el marco principal de la gestión de riesgos de tecnología de la información.
Los principales requisitos de gestión son los siguientes:
1. El departamento de tecnología de la información debe implementar funciones de gestión de seguridad de la información.
2. Se debe establecer un proceso para gestionar eficazmente la autenticación de usuarios y el control de acceso.
3. La red debe dividirse en diferentes dominios de seguridad lógica según el nivel de seguridad de la información.
4. Garantizar la seguridad de todos los sistemas operativos y software del sistema.
5. Se debe garantizar la seguridad de todos los sistemas de información.
6. Deben existir políticas y procedimientos para gestionar los registros de actividad de todos los sistemas de producción para respaldar una auditoría eficaz, un análisis forense de seguridad y la prevención del fraude.
7. Se debe utilizar tecnología de cifrado para evitar el riesgo de fuga o manipulación de información confidencial durante la transmisión, el procesamiento y el almacenamiento, y se debe establecer un sistema de gestión de equipos criptográficos para garantizar el uso de la tecnología de cifrado y el cifrado. equipos que cumplan con los requisitos nacionales; los empleados que administran y utilizan equipos criptográficos han recibido capacitación profesional y una evaluación estricta; se formulan e implementan procesos de gestión eficaces, especialmente la gestión del ciclo de vida de claves y certificados;
8. Deben existir sistemas eficaces para garantizar la seguridad de todos los equipos del usuario final, y todos los equipos deben inspeccionarse periódicamente.
9. Se deben desarrollar sistemas y procedimientos relevantes para gestionar estrictamente la recopilación, procesamiento, almacenamiento, transmisión, distribución, copia de seguridad, recuperación, limpieza y destrucción de la información del cliente.
10. Se debe brindar la capacitación necesaria a todos los empleados para que puedan comprender completamente los sistemas y procesos de gestión de riesgos de tecnología de la información, comprender las consecuencias de violar las regulaciones y adoptar una política de tolerancia cero ante las violaciones de seguridad. regulaciones.