استاندارد امنیت اطلاعات

trusted environment, PROVIDED the establishment and operation of such applications does not jeopardize the enterprise security environment, specifically: محیط قابل‌اعتماد (اشاره به متن قبلی)، مشروط بر اینکه ایجاد و بهره‌برداری از چنین برنامه‌هایی محیط امنیت سازمانی را به خطر نیندازد، به‌طور مشخص:

• The security protocols (including means of authentication and authorization) relied upon by others; and, • پروتکل‌های امنیتی (شامل ابزارهای احراز هویت و صدور مجوز) که دیگران به آن تکیه دارند؛ و،

• The integrity, reliability, and predictability of the state backbone network. • یکپارچگی، قابلیت اطمینان و پیش‌بینی‌‌پذیری شبکه ستون فقرات ایالتی.

3. Previous location in policy: Statement 3. ۳. مکان قبلی در سیاست: بیانیه ۳.

Furthermore, each agency that operates its applications and networks within the Washington State Digital Government framework must subscribe to the following principles of shared security: علاوه بر این، هر آژانسی که برنامه‌های کاربردی و شبکه‌های خود را در چارچوب دولت دیجیتال ایالت واشنگتن اداره می‌کند، باید به اصول امنیت مشترک زیر پایبند باشد:

• Agencies shall follow security standards established for selecting appropriate assurance levels for specific application or data access and implement the protections and controls specified by the appropriate assurance levels; • آژانس‌ها باید از استانداردهای امنیتی تعیین‌شده برای انتخاب سطوح اطمینان مناسب برای دسترسی خاص به برنامه یا داده پیروی کنند و حفاظت‌ها و کنترل‌های مشخص‌شده توسط سطوح اطمینان مناسب را اجرا نمایند؛

• Agencies shall recognize and support the state’s standard means of authenticating external parties needing access to sensitive information and applications; • آژانس‌ها باید ابزارهای استاندارد ایالت برای احراز هویت طرف‌های خارجی که نیاز به دسترسی به اطلاعات و برنامه‌های حساس دارند را به رسمیت بشناسند و پشتیبانی کنند؛

• Agencies shall follow security standards established for securing servers and data associated with the secure application; and • آژانس‌ها باید از استانداردهای امنیتی تعیین‌شده برای ایمن‌سازی سرورها و داده‌های مرتبط با برنامه امن پیروی کنند؛ و

• Agencies shall follow security standards established for creating secure sessions for application access. • آژانس‌ها باید از استانداردهای امنیتی تعیین‌شده برای ایجاد جلسات امن برای دسترسی به برنامه پیروی کنند.

4. Previous location in policy: Statement 4. ۴. مکان قبلی در سیاست: بیانیه ۴.

Each agency must address the effect of using the Internet to conduct transactions for state business with other public entities, citizens, and businesses. هر آژانس باید به تأثیر استفاده از اینترنت برای انجام تراکنش‌های کسب‌وکار دولتی با سایر نهادهای عمومی، شهروندان و کسب‌وکارها بپردازد.

Plans for Internet-based transactional applications, including but not limited to e-commerce, must be prepared and incorporated into the agency's portfolio and submitted for security validation. طرح‌ها برای برنامه‌های کاربردی تراکنشی مبتنی بر اینترنت، شامل اما نه محدود به تجارت الکترونیک، باید آماده شده و در سبد (پورتفولیو) آژانس گنجانده شود و برای اعتبارسنجی امنیتی ارسال گردد.

5. Previous location in policy: Statement 5. ۵. مکان قبلی در سیاست: بیانیه ۵.

Agencies are encouraged to participate in appropriate security alert response organizations at the state and regional levels. آژانس‌ها تشویق می‌شوند که در سازمان‌های پاسخ به هشدارهای امنیتی مناسب در سطوح ایالتی و منطقه‌ای مشارکت کنند.

• All Internet applications should be included and managed within the agency portfolio. • تمام برنامه‌های کاربردی اینترنتی باید در سبد آژانس گنجانده و مدیریت شوند.

As required by the IT Security Standards, a detailed security design packet for transactional, non-anonymous applications (including but not limited to those using a security mechanism for access control) is submitted for review by DIS but the security related information need not be included in the portfolio. طبق الزامات استانداردهای امنیت فناوری اطلاعات، یک بسته طراحی امنیتی دقیق برای برنامه‌های تراکنشی و غیر ناشناس (شامل اما نه محدود به آن‌هایی که از مکانیسم امنیتی برای کنترل دسترسی استفاده می‌کنند) برای بررسی توسط DIS ارسال می‌شود، اما اطلاعات مربوط به امنیت نیازی نیست در سبد گنجانده شود.

Examples of security mechanism for access control include, but are not limited to, Public Key Infrastructure, User ID and passwords, or biometrics. نمونه‌هایی از مکانیسم امنیتی برای کنترل دسترسی شامل، اما نه محدود به، زیرساخت کلید عمومی (PKI)، شناسه کاربر و گذرواژه‌ها، یا بیومتریک است.

6. Previous location in policy: Statement 6. ۶. مکان قبلی در سیاست: بیانیه ۶.

Examples of changes that require review and appropriate updates to the agency security program include modifications to physical facility, computer hardware or software, telecommunications hardware or software, telecommunications networks, application systems, organization, or budget. نمونه‌هایی از تغییراتی که نیاز به بررسی و به‌روزرسانی‌های مناسب در برنامه امنیتی آژانس دارند شامل اصلاحات در تأسیسات فیزیکی، سخت‌افزار یا نرم‌افزار کامپیوتری، سخت‌افزار یا نرم‌افزار مخابراتی، شبکه‌های مخابراتی، سیستم‌های کاربردی، سازمان یا بودجه است.

Practices will include appropriate mechanisms for receiving, documenting, and responding to security issues identified by third parties. عملکردها (شیوه‌ها) شامل مکانیسم‌های مناسب برای دریافت، مستندسازی و پاسخگویی به مسائل امنیتی شناسایی‌شده توسط اشخاص ثالث خواهد بود.

7. Previous location in policy: Statement 7 ۷. مکان قبلی در سیاست: بیانیه ۷

Each agency must maintain documentation showing the results of its review or audit and the plan for correcting material deficiencies revealed by the review or audit. هر آژانس باید مستنداتی را که نتایج بررسی یا ممیزی آن و طرح اصلاح نواقص عمده آشکار شده توسط بررسی یا ممیزی را نشان می‌دهد، نگهداری کند.