يمكن أن يكون اختيار استخدام إطار عمل أمان معين لتكنولوجيا المعلومات مدفوعًا بعدة عوامل، تساعد هذه الأطر المتخصصين في مجال الأمن على تنظيم وإدارة برنامج أمن المعلومات.
بعض الأمثلة على معايير وأطر أمن تكنولوجيا المعلومات
1. إطار عمل NIST CSF
- تم تطوير إطار عمل (NIST) لتحسين الأمن السيبراني للبنية التحتية الحرجة أو (NIST CSF)، وقد تم تطويره للتعامل مع البنية التحتية، بما في ذلك إنتاج الطاقة والاتصالات وتقديم الرعاية الصحية وغيرها.
- يركز (NIST CSF) على تحليل وإدارة المخاطر، تستند ضوابط الأمان في إطار العمل إلى المراحل الخمس لإدارة المخاطر وهي؛ التحديد والحماية والكشف والاستجابة والتعافي، مثل جميع برامج أمن تكنولوجيا المعلومات، تتطلب هذه المراحل دعم الإدارة العليا، يمكن استخدام (NIST CSF) من قبل كل من القطاعين العام والخاص.
2. سلسلة NIST SP 1800
- سلسلة (NIST SP 1800) هي مجموعة من الأدلة التي تكمل سلسلة معايير وأطر (NIST SP 800)، تقدم سلسلة المنشورات (SP 1800) معلومات حول كيفية تنفيذ وتطبيق تقنيات الأمن السيبراني القائمة على المعايير في تطبيقات العالم الحقيقي.
3. إطار عمل COBIT
- ركز (COBIT) في الأصل على تقليل مخاطر تكنولوجيا المعلومات، تضمن (COBIT) اتجاهات التكنولوجيا والأعمال الجديدة لمساعدة المؤسسات على تحقيق التوازن بين أهداف تكنولوجيا المعلومات والأعمال.
4. إطار الأمن المشترك HITRUST
- يتضمن إطار العمل الأمني المشترك (HITRUST) أطر عمل لتحليل المخاطر وإدارة المخاطر، جنبًا إلى جنب مع المتطلبات التشغيلية، يحتوي الإطار على (14) فئة تحكم مختلفة ويمكن تطبيقه على أي مؤسسة تقريبًا، بما في ذلك الرعاية الصحية.
- لذلك، ينتهي الأمر بالعديد من المؤسسات إلى تحديد مجالات تركيز أصغر لـ (HITRUST)، تضيف تكاليف الحصول على شهادة (HITRUST) والحفاظ عليها إلى مستوى الجهد المطلوب لاعتماد هذا الإطار، يتم تدقيق الشهادة من قبل طرف ثالث، مما يضيف مستوى من الصلاحية.
5. اللائحة العامة لحماية البيانات
- تتضمن متطلبات القانون العام لحماية البيانات (GDPR) ضوابط لتقييد الوصول غير المصرح به إلى البيانات المخزنة وتدابير التحكم في الوصول، مثل: الامتياز الأقل والوصول المستند إلى الدور والمصادقة متعددة العوامل.