Rheoli asesiadau o wendidau diogelwch gwybodaeth
Trosolwg
Mae gwendidau yn rhoi pwyntiau mynediad posibl lle gall swyddogaeth neu ddata rhwydwaith neu raglen, (gwefan fel arfer) gael eu difrodi, eu lawrlwytho neu eu camddefnyddio. Gallai gwefan nodweddiadol fod â llawer o wendidau posibl. Gall hacwyr osod meddalwedd maleisus (meddalwedd neu god maleisus) drwy fanteisio ar wendidau diogelwch i gael mynediad at wefan a gosod cod maleisus.
Mae dadansoddiad o wendidau, a elwir hefyd yn asesiad o wendidau, yn broses sy'n diffinio, nodi a dosbarthu'r diffygion diogelwch (gwendidau) mewn seilwaith rhwydwaith neu gyfathrebu ac mewn rhaglenni systemau gwybodaeth. Ar ben hynny, gall dadansoddiad o wendidau ragweld effeithiolrwydd gwrthfesurau diogelwch gwybodaeth arfaethedig a gwerthuso eu heffeithiolrwydd gwirioneddol ar ôl eu defnyddio. Mae asesiad o wendidau yn ceisio nodi unrhyw faleiswedd ar systemau yn ogystal â gwendidau ar lefel system a rhwydwaith.
Mae'r safon hon yn diffinio'r cymwyseddau sydd eu hangen i reoli gweithgareddau asesu gwendidau. Mae hyn yn cynnwys gweithgareddau rheoli adnoddau a'r amcanion i'w cyflawni. Mae hyn yn cynnwys diffinio polisïau, safonau a phrosesau sefydliadol a'u rhoi ar waith.
Meini prawf perfformiad
Mae'n rhaid eich bod chi'n gallu:
- datblygu, rhoi ar waith a chynnal y polisïau, cynlluniau, prosesau, gweithdrefnau, dulliau, cyfarpar a'r technegau ar gyfer gweithgareddau asesu gwendidau a’r amcanion i'w cyflawni
- diffinio cwmpas asesiadau o wendidau yn glir ac yn gywir, gan addasu'r broses i gyd-fynd â chyd-destunau penodol
- dewis a chymhwyso’r dulliau a’r cyfarpar mwyaf priodol i’w defnyddio yn ystod asesiadau o wendidau yn unol â gofynion sefydliadol
- gosod a chynnal y cynllun adnoddau a hyfforddiant ar gyfer y tîm asesu gwendidau yn unol â gofynion sefydliadol
- dylunio gweithgareddau asesu gwendidau mewn systemau gwybodaeth, eu rhoi ar waith, ac adrodd ar fetrigau o ran eu heffeithiolrwydd
- cynnal adolygiad beirniadol o ganlyniadau asesiadau o wendidau, gan nodi blaenoriaethau ar gyfer camau gweithredu
- dilysu gwendidau newydd posibl a allai effeithio ar asedau gwybodaeth y sefydliad
- monitro ansawdd ac effeithiolrwydd gweithgareddau asesu gwendidau, cynnal adolygiad beirniadol o'r prosesau asesu gwendidau a gwneud argymhellion ar gyfer gwella lle bo’n briodol
- cynghori eraill a'u harwain ar bob agwedd ar weithgareddau asesu gwendidau a'r amcanion i'w cyflawni
- cyfleu statws a chanlyniadau asesu gwendidau yn effeithiol i ystod eang o noddwyr, rhanddeiliaid ac unigolion eraill
Gwybodaeth a Dealltwriaeth
You need to know and understand:
- sut i ddatblygu'r polisïau a'r gweithdrefnau sydd eu hangen ar gyfer gweithgareddau asesu gwendidau effeithiol
- sut i gwmpasu asesiadau o wendidau
- yr angen i sicrhau bod asesiadau o wendidau yn cael eu cynnal yn barhaus
- sut i ddatblygu gwrthfesurau effeithiol yn erbyn gwendidau a'u rhoi ar waith
- ble i ddod o hyd i wybodaeth am y bygythiadau a'r gwendidau diweddaraf a nodir
- y safonau sefydliadol ac allanol, y fframweithiau arferion gorau a'r codau ymddygiad y dylai asesiad o wendidau gydymffurfio â nhw
- sut i ymgysylltu’n rhagweithiol â rhanddeiliaid i sicrhau bod camau lliniaru gwendidau yn cael eu deall a’u rhoi ar waith mewn modd amserol
- sut i gadw rhestrau o raglenni neu ddyfeisiau awdurdodedig neu waharddedig i'w defnyddio ar systemau monitro amddiffynnol (rhestrau gwyn / du)
- yr angen i gynnal adolygiad beirniadol o ganlyniadau asesiadau o wendidau, gan nodi blaenoriaethau ar gyfer gweithredu lle bo'n briodol
- y defnydd manwl o brosesau asesu gwendidau a ddefnyddir i benderfynu'n wrthrychol pa reolaethau diogelwch sydd fwyaf priodol
- sut i ddadansoddi bwletinau am wendidau diogelwch gwybodaeth o ran eu heffaith bosibl ar systemau gwybodaeth, a chymryd neu argymell camau gweithredu priodol
- pwysigrwydd monitro ansawdd ac effeithiolrwydd gweithgareddau asesu gwendidau
- sut i nodi gwelliannau i'r prosesau a gweithdrefnau asesu gwendidau a'u rhoi ar waith