跳转到主要内容

世界杯押注

部门领导和经理负责 建立“自上而下的基调”分配适当的工作人员 确保网络安全的内部控制得到发展, 测试, 更新并对所有工作人员进行例行培训,以防止由于网络事故造成的操作中断、数据或财务损失.

政府财务和运营审计现在将评估数据可靠性和网络安全内部控制作为正常政府运作的标准部分.

企业安全标准现在包含在部门的标准中 内部控制 并在组织的所有级别上承担合规责任.

来自顶端的声音-网络安全是一个首要任务

网络安全合规不仅仅是一项“IT”或技术功能, 而是一系列的控制, 操作, 适用于一个部门中所有级别员工的程序和培训.

领导层和经理有责任从高层建立一种强烈的基调,即网络安全内部控制是所有运营的基础,也是组织的首要任务.

分配关键员工以确保网络安全合规

作为网络安全防范的一部分, 领导层和管理者必须在组织的所有级别分配适当的人员,以确保遵守所需的网络安全和数据保护内部控制.

网络安全内部控制需要包括IT在内的整个组织的协作, HR, 法律, 政策, 财政, 预算, 工资, 规划和操作人员,并扩展到任何承包商或第三方支持操作.

内部控制应包括:
  1. 企业信息安全政策和标准
  2. 远程工作指导和咨询
  3. 勒索软件的准备和缓解
  4. 对处理个人身份信息的企业和其他实体的合规义务
  5. 其他独特的数据隐私标准

a. 信用卡支付标准(如接受信用卡支付)
b. 卫生保健隐私(HIPAA)(健康和医疗记录)
c. 保护学生私隐(FERPA)

企业信息安全政策和标准

联邦的默认数据和安全标准以及内部控制必须包含在该部的内部控制计划中, 实现, 测试, 并包括在员工培训中. 这些标准适用于所有执行部门世界杯押注平台和机构,并且是未采用可比网络和数据安全标准作为其内部控制计划一部分的非执行部门的默认标准.

对质量的看法.政府

请参阅下面的企业信息安全政策和标准自我评估问卷工具,以帮助评估您对这些标准的遵守情况.

主要的网络和数据安全内部控制

以下是几个工具,可以帮助遵守企业安全策略和标准的实施. 这些应该成为英联邦各部门内部控制系统的一部分.

企业信息安全标准自我评估问卷

CTR开发了这个自愿的工具,用于评估符合EOTSS企业安全标准的水平

视图EXCEL
企业信息安全标准自我评估问卷演练

《世界杯押注平台》自评问卷填写说明

查看PDF
网络事件的教训

CTR已经从以前的网络事故中总结了经验教训,以帮助打击薄弱领域, 以及预防和补救网络事件的建议.

查看PDF
模板:准备网络安全风险评估的四个步骤

CTR创建了一份包含四个步骤的信息文档,以准备实体进行网络安全风险评估,以识别和降低安全风险.

查看PDF
网络安全风险评估准备清单

实体可使用此工作表帮助识别网络安全风险评估所需的信息类型.

视图EXCEL
事件响应模板

CTR准备了这个模板,以涵盖事件响应的基础知识. 为了成功, 组织必须采取协调和有组织的方法来处理任何事件.

WORD文档视图

远程工作指导和建议

来自审计长世界杯押注平台的远程办公关键提示
查看PDF
远程办公 & 企业安全世界杯押注平台的网络安全基础
对质量的看法.政府
质量CyberCenter远程办公网络安全小贴士
访问MASSCYBERCENTER.ORG
联邦政府远程办公指南
访问远程办公.政府
美国的员工在线培训.S. 卫生与公众服务部
访问美国卫生和公众服务部.政府

勒索软件的防范和缓解

勒索软件现在是对企业和个人的最大威胁之一. 本指南有助于预防和减轻勒索软件攻击.

内部控制政策

内部控制应更新,以包括勒索软件的考虑, 执行风险评估, 额外的内部控制, 并更新事故响应, 业务连续性, 和灾备恢复计划.

世界杯押注平台观
CISA MS-ISAC勒索软件指南

指导的领导, 管理, 并让员工了解勒索软件, 防止, 和减轻事件.

对中钢协.政府
卫生服务网络

CISA提供一些免费的扫描和检测服务,以帮助组织评估, 识别, 减少他们面临的威胁, 包括ransomware. 通过请求这些服务, 任何规模的组织都可以找到降低风险和减轻攻击载体的方法.

对中钢协.政府
网络安全评估工具

独立桌面世界杯押注平台,指导资产所有者和运营商通过评估运营技术和信息技术的系统过程.

对中钢协.政府

Ransomware培训

不要在勒索软件攻击中醒来
查看记录
不要在勒索软件攻击中醒来
查看幻灯片
我被勒索软件攻击了!
对中钢协.政府

处理个人身份信息的企业和其他实体的合规义务

符合个人资料检查表

使用此检查表以确保符合M.G.L. 93H章数据保护.

对质量的看法.政府

《世界杯押注平台》和《世界杯押注》规定的义务

如果您有理由相信您的组织在M项下经历了数据泄露,则要求.G.L. 93 h章.

对质量的看法.政府

报告网络事件、可疑活动和欺诈行为

数据泄露的强制报告和合规义务.

访问页面

信用卡支付标准

马萨诸塞州各州接受信用卡的部门必须遵守 收款数据安全政策支付卡行业(PCI)安全标准理事会的要求 用于保护个人身份信息.

对于合规服务,要求部门使用 全州合同PRF73DesignatedCTR ——付款数据 & 支付卡行业(PCI)合规服务全州合同. (更新日期:2020年12月30日)

医疗保健隐私(HIPAA)

健康保险可移植性 & 《世界杯押注平台》(HIPAA) 1996年

电子健康信息安全国家标准, 包括保护个人可识别的健康信息, 授予个人的权利, 违反通知要求, 以及民权世界杯押注平台的作用.

在美国卫生和公众服务部.政府
HIPAA安全规则摘要

安全规则的关键要素的摘要,包括涉及的人员, 哪些资料受保护, 必须采取何种保障措施,以确保适当保护电子保护的健康信息.

对美国卫生和公众服务部.政府
大规模世界杯押注卫生行动的世界杯押注卫生网络安全工具包

涵盖医疗网络安全和隐私保护的基本原理和最佳实践的教育工具包.

访问在MASSDIGITALHEALTH.ORG

HIPAA违约的强制报告义务

报告HIPAA违约的检查表

由于网络攻击导致的HIPAA漏洞的报告要求.

对美国卫生和公众服务部.政府
网络安全信息图报告网络攻击

一个可打印的信息图表,用于报告与hipaa相关的网络攻击.

对美国卫生和公众服务部.政府
简报:勒索软件和HIPAA

常见问题

对美国卫生和公众服务部.政府

保护学生隐私权(家庭教育权利和隐私权法)

《世界杯押注》

《世界杯押注》第34章第99部分实施《世界杯押注平台》第444条的法规, 通常被称为《世界杯押注》.

ED观.政府
U.S. 教育合规法律和指导部

立法, 规定, 指导, 和其他政策文件可以在这里找到《世界杯押注平台》和其他主题.

ED观.政府

其他网络安全和数据隐私标准和指南

马萨诸塞州世界杯押注互联网和在线隐私的法律

世界杯押注互联网和网络隐私法的法律、法规、案例和网络资源的汇编.

对质量的看法.政府
政府会计师协会政府间伙伴关系网络安全中心

AGA政府间合作计划项目,帮助各级政府提高网络安全意识.

视图AGACGFM.ORG
全国州长协会国家网络安全资源中心

国家实施有效国家网络安全实践的指南.

NGA观.ORG
ISO / IEC 27001

信息安全管理系统最佳实践的国际标准,以风险为基础进行控制,可以结构化的方式应用于组织,以实现合规.

访问IT政府ERNANCEUSA.COM
NIST网络安全标准

美国国家标准与技术研究所自愿指导,帮助组织更好地管理和降低网络安全风险.

访问NIST.政府
NIST网络安全框架

NIST通过推广和有效应用标准和最佳实践来实现实际的网络安全和隐私保护.S. 采用网络安全能力.

访问NIST.政府

网络安全控制的额外资源