促進人員安全策略
在任何安全解決方案中屁商,人都是最薄弱的部分。
雇傭新員工通常涉及幾個明確的步驟:創(chuàng)建工作描述谴垫、設(shè)置工作分類、帥選候選人母蛛、雇傭和培訓最適合這項工作的人翩剪,其中創(chuàng)建工作描述是第一步工作。
職責分離:阻止任何一個人具備破壞或削弱重要安全機制的能力溯祸;職責分離可以防止共謀肢专。
工作職責:按照最小特權(quán)原則分配訪問權(quán)限。
崗位輪換:通過讓員工在不同的工作崗位間輪換職位來提高整體安全性焦辅。
1.提供一種知識的冗余博杖,在許多員工中的每一位都有能力勝任所要求的若干工作崗位時,如果因為疾病或其它事件導致一位或多位員工在較長事件內(nèi)無法工作筷登,那么組織遭受嚴重停工或生產(chǎn)效率降低的可能性就較小剃根。
2.人員流動可以減少偽造、數(shù)據(jù)更改前方、偷竊狈醉、陰謀破壞和信息濫用的風險。當一個人在特定崗位上工作時間越長惠险,就越有可能分配到額外的任務苗傅,從而會擴展他們的特權(quán)和訪問權(quán)限。若該人員因為個人利益對公司進行惡意報復班巩,那么就很容易被另一位了解該工作崗位和工作職責的員工發(fā)現(xiàn)渣慕,因此,崗位輪換也是一種同級的審計形式抱慌,并且能夠防止共謀逊桦。
帥選候選人
背景調(diào)查:獲得候選人的教育歷史記錄、工作歷史記錄抑进、與候選人鄰居强经、同時進行會面、向公安局獲得候選人的拘捕或違法記錄....
在線調(diào)查:社交賬戶審查
雇傭協(xié)議和策略
NDA(NonDisclosure Agreement)保密協(xié)議
NCA(NonCompete Agreement)競業(yè)禁止協(xié)議
經(jīng)理應當定期審計每一位員工的工作描述寺渗、工作任務和特權(quán)
明確解雇員工流程
離職面談的主要目的是:根據(jù)前雇員簽署的雇傭協(xié)議匿情、保密協(xié)議和其它安全相關(guān)文檔來審查責任和約束條件兰迫。
大多數(shù)情況下,應該在通知員工被解雇繁榮同時或之前就禁止詞員工對系統(tǒng)的訪問權(quán)限码秉。
供應商逮矛、顧問和承包商控制
合規(guī)性
合規(guī)是符合或遵守規(guī)則、策略转砖、標準或要求的行為须鼎,合規(guī)性相對于安全治理來說是一個重要的問題。
隱私
安全治理
文檔審查是閱讀交換材料并利用標準和期望對其進行檢驗的過程府蔗。
文檔審查一部分是對業(yè)務流程和組織策略的邏輯和實際調(diào)查晋控。這一審查確保聲明和實施的業(yè)務任務以及系統(tǒng)的方法是使用、高笑和成本有效的姓赤,最重要的是它們可以通過減少漏洞以及避免赡译、減少或緩解風險來支持安全目標。風險管理不铆、風險評估和風險解決都是在執(zhí)行流程/策略評估中涉及的方法和技術(shù)蝌焚。
理解和應用風險管理概念
風險分析包括:分析緩解中的風險;評估每種風險發(fā)生的可能性和造成的損失誓斥;評估各種風險對策的成本只洒,以及生產(chǎn)安全措施的成本/效益報告并呈交給上級管理者。
風險相關(guān)術(shù)語
資產(chǎn):是指環(huán)境中應該加以保護的任何事物劳坑。
資產(chǎn)估值:根據(jù)實際的成本和非貨幣支出為資產(chǎn)分配貨幣價值毕谴。
威脅:任何可能發(fā)生、為組織或某種特定資產(chǎn)所代理不希望的或不想要的結(jié)果的事情都被稱為威脅距芬。
脆弱性:資產(chǎn)中的弱點或防護措施/對策的缺乏被稱為脆弱性涝开。
暴露:由于威脅二容易造成資產(chǎn)損失,脆弱性會被或?qū)⒈煌{主體或威脅事件加以利用的可能性是存在的框仔。
風險:風險是某種威脅利用脆弱性并導致資產(chǎn)損毀的可能性舀武,是對可能性、概率或偶然性的評估离斩。暴露的每個實例都是一種風險奕剃,風險=威脅*脆弱性。
防護措施:防護措施或?qū)Σ呤侵改軌蛳嗳跣曰驅(qū)Ω兑环N或多種特定威脅的任何方法捐腿。防護措施可以是通過消除或減少組織內(nèi)任何位置的威脅或脆弱性來降低風險的任何行為或產(chǎn)品。
攻擊:攻擊指的是威脅主體對脆弱性的利用柿顶。
破壞:破壞是指發(fā)生安全機制被威脅主體繞過或阻撓的事情茄袖。
威脅利用脆弱性,脆弱性導致暴露嘁锯,暴露就是風險宪祥,風險又被防護措施減輕聂薪。防護措施保護被威脅危及安全的資產(chǎn)。
識別威脅和脆弱性
風險評估/分析
定量風險分析:把真實的貨幣價值分配給損失的資產(chǎn)蝗羊。
定性風險分析:把主管的和無形的價值分配給損失的資產(chǎn)藏澳。
定量分析主要步驟:
1.列出資產(chǎn)清單和分配資產(chǎn)價值
2.研究每項資產(chǎn),生成每個資產(chǎn)所有可能威脅的列表耀找,并計算暴露因襲和單一損失期望值翔悠。
3.執(zhí)行威脅分析,計算每種風險的年發(fā)生比率
4.計算年度損失期望野芒,得到每個威脅可能的總損失
5.研究每個威脅對策蓄愁,然后基于應用的對策,計算ARO和ALE的變化
6.針對每個資產(chǎn)進行成本/效益分析狞悲,選擇每個威脅最適用的對策撮抓。
分配資產(chǎn)價值(AV)-->計算暴露因子(EF)-->計算單一損失期望值(SLE)-->評價年發(fā)生比率(ARO)-->算出年度損失期望值(ALE)-->執(zhí)行對策的成本/效益分析
單一損失期望值SLE=資產(chǎn)價值A(chǔ)V * 暴露因子 EF
SLE=AVEF
年度損失期望ALE=單一損失期望值SLE * 年發(fā)生比率 ARO
ALE=SLEARO
防護措施的目的是減少ARO,也就是說防護措施應該減少攻擊對資產(chǎn)造成成功損害的次數(shù)摇锋。
如果防護措施的成本超過資產(chǎn)的價值(也就是風險的成本)丹拯,那么就只能接受風險。
計算防護措施成本/效益:采取對策前的ALE-采取對策后的ALE-ACS(防護措施年度成本)荸恕,無論如何乖酬,結(jié)果為正數(shù)時是合理的。
風險分配/接受
針對風險的處理戚炫,有4中可能的反應:
降低風險剑刑、轉(zhuǎn)讓風險、接受風險双肤、拒絕風險
總風險=威脅&脆弱性&資產(chǎn)價值
總風險-控制間隙=剩余風險
對策的選擇和評估
風險控制的實施
安全控制施掏、對策和防護措施可以通過行政管理性、邏輯/技術(shù)性或物理性控制來實現(xiàn)茅糜。
控制的類型
威懾七芭、預防、檢測蔑赘、補償狸驳、糾正、恢復缩赛、指令
監(jiān)控和質(zhì)量
資產(chǎn)評估
持續(xù)改進
遵從成本/效益原則
風險框架
風險框架是關(guān)于如何評估風險耙箍、解決風險和監(jiān)管風險的指南或訣竅。
風險管理系統(tǒng)包括6步:安全分類酥馍、安全控制選擇辩昆、安全控制測實現(xiàn)、安全控制的評估旨袒、信息系統(tǒng)的授權(quán)和安全控制的監(jiān)管汁针。
建立和管理信息安全教育术辐、培訓和意識
三種公認的學習層次是:意識、培訓和教育
培訓通常由組織主持進行施无。
管理安全功能
組織的安全管理功能可能包括經(jīng)濟能力(預算)辉词、度量、資源猾骡、信息安全策略瑞躺、評估安全系統(tǒng)的完整性、有效性等等卓练。
