怎么能Poa.&MS帮助改善您的安全预算过程?

安全顾问和工程师往往由“POA”一词混淆&m“或简单地发音为”poe - 上午“。 Poa.&m代表行动和里程碑的计划。许多专业人士认为这是它听起来的话“一些或任何计划捕获行动和里程碑”。但是,它真的来自军事和国防环境中的那些。

行动和里程碑(POA&m)实际上由2002年(FISMA)的“联邦信息系统管理法”作为正式纠正行动计划,以跟踪和管理系统内的弱点。当我们说“正式”时,这意味着文件的结构以及如何正确完成文档的指导。与指导的任何偏差很可能意味着你的POA&M文件将被正在审查和证明或授权您的系统批准的人拒绝。

大多数私人和商业组织可以将此计划与典型风险登记册联系起来,而在联邦风险中,POA&M是一种高结构,版本控制,敏感文件,不仅用于管理风险,还可以帮助联邦预算过程。 Poa.&MS与安全控制框架一起使用,例如NIST风险管理框架。

什么是在poa中&M?

一般来说,一个poa&m包含完成完成特定任务所需的资源和人力的详细估算。更具体地,它具有以下要求:

  • 项目标识符
  • 弱点或缺乏
  • 安全控制
  • POC.
  • 所需资源
  • 计划完成日期
  • 完成日期的里程碑
  • 对里程碑的变化
  • 缺乏/缺乏症
  • 风险等级
  • 估计费用
  • 地位
  • 注释

应该指出的是,根据您的业务或您的代理商,在完成POA时可能会有更多或更少的要求。&M.

POA如何&m影响您的安全风险&合规性操作?

今天的安全专业人士在许多框架,法规和标准的审查下。像GDPR,FISMA,PCI-DS等标准,以及所有这些框架都可以在单一的安全控制框架下提出,例如NIST风险管理框架(NIST RMF)。安全控制框架是一个统一的合规框架,使组织能够巩固其要求,以便正确管理不同监管机构和标准组织的庞大的需求次数。根据统一合规努力评估您的环境,它将产生各种控制和要求的多种缺陷。这些缺陷和问题正式记录在您的POA内部&M. The POA&然后,M可以作为基本文件,以捕获业务理由,任务和估计成本,并以明确的可追溯性对您组织的安全姿势。

怎么能Poa.&MS通过预算策略帮助CISO?

根据 OMB备忘录04-25,Poa.&MS实际上由管理和预算办公室(OMB)使用,以收集美国各机构的安全成本,管理和预算(OMB)是美国总统执行办公室中最大的办公室。将OMB视为安全和其他活动的主要财务部门。

有很多CISO可以了解OMB流程,管理和批准如何为所有各种类型的活动提供资金,包括资本规划新投资,称为CPIC(资本规划&投资控制)。

在我们跳进成本和预算之前,让我们讨论为什么是一个POA&m捕获成本与其他文档。 poa.&m主要报告统一合规框架或内部安全控制框架的缺陷。一个大型组织可以部署许多安全控制框架的变体。这些框架中的每一个都可以生成自己的一组缺陷。 IMAN有兴趣管理和解决可能会转向国家安全风险的缺陷。在组装安全预算时,Cisos必须始终了解相对影响并适当地传达风险和影响。 poa.&M允许CisoS以明确和可靠的方式通过备份所有资金要求以及其相对风险评级和缺陷来以明确和可靠的方式执行此操作。

以下是POA的直接要求&M from OMB备忘录04-25。将安全成本与安全性能联系起来是CisoS希望不仅要获得预算而且还要维持预算的关键。这正是poa&m试图实现。

 

Ignyte如何帮助Cisos?

CISOS需要一种可辩护的预算策略,Ignyte在将其链接到组织的安全性能时自动化安全预算过程。组织的安全性能可以与统一的合规性框架相关联,同时在单个组织下管理多个安全控制框架。给我们一个电话或 schedule your demo today.