継続的監視プログラム

継続的監視プログラムにより、NiCEはCXone Mpowerシステムのセキュリティを追跡できます。 これは、NIST SP 800-137、連邦情報システムおよび組織のための情報セキュリティ継続的監視のプロセスに基づいています。 このプログラムの目的は以下を提供することです。

• 操作の可視性。

• セキュリティ制御の実装に関する年次報告書。

• コントロールを変更します。

• インシデント対応業務への立会い。

このプログラムでは、NiCEがシステムを保護するためにセキュリティ関連の情報を収集します。 プログラムには次のステップが含まれます。

1. NiCEは、リスク許容度に基づく継続的なモニタリングストラテジーを定義します。 このストラテジーで、NiCEは次のことを行います。

   1. 資産がどのように処理されるかを可視化します。

   2. システム内の弱点に注意します。

   3. 最新の脅威情報を持っています。

2. NiCEは以下を確立します。

   1. 対策。

   2. メトリック。

   3. ステータス監視。

   4. 次のような評価:

      • 組織のセキュリティの状態と有効性を示す。

      • システム基盤や運用環境の変化を検知する。

3. NiCEは、次のようなプログラムを実装します。

   1. 定義したメジャーに必要なデータを収集します。

   2. 所見を報告します。

   3. 可能な場合は、データの収集、分析、レポート作成を自動化します。

4. NiCEは、プログラムの前のステップから収集されたデータを分析します。

5. NiCEは、プログラムを改善するための推奨事項とともに、調査結果を報告します。 必要に応じて、より多くの情報を収集し、既存のデータを明確にしたり追加したりします。

6. NiCEは、次の方法で評価結果に対応します。

   • 技術的、管理的、運用上の脆弱性の緩和。

   • リスクを受け入れること。

   • 評価を他の機関に移管すること。

7. 最後に、NiCEは次の方法で監視プログラムをレビューおよび更新します。

   1. ストラテジーの見直し。

   2. 測定能力の向上。

   3. 資産の可視性の向上、脆弱性の認識、組織の柔軟性。

   4. CXone Mpowerインフラストラクチャのデータ駆動型制御の強化。

定期的な評価では、セキュリティ制御が以下のものであるかどうかを確認します。

• 正しく実装されている。

• 意図したとおりに動作。

• 会議のベースライン。

レポーティングは連邦政府職員に必要な情報を提供します。 これにより、次のことが可能になります。

• リスクベースの意思決定を行う。

• システムのセキュリティに関する保証を提供する。

ISO 27001セキュリティ管理規格は頻繁な監査を要求しています。