




已阅读5页,还剩68页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
信息安全治理和风险管理InformationSecurityGovernanceandRiskManagement,CISSP第六版培训课件之一,关键知识领域,A.Understandandalignsecurityfunctiontogoals,missionandobjectivesoftheorganization理解安全功能并将其与机构目标、使命和宗旨相结合B.Understandandapplysecuritygovernance理解并运用安全治理B.1Organizationalprocesses(e.g.,acquisitions,divestitures,governancecommittees)组织过程(如收购、分拆、治理委员会)B.2Securityrolesandresponsibilities安全角色与职责B.3Legislativeandregulatorycompliance法律和监管的合规B.4Privacyrequirementscompliance隐私要求的合规B.5Controlframeworks控制框架B.6Duecare尽职关注B.7Duediligence尽职调查,关键知识领域,C.Understandandapplyconceptsofconfidentiality,integrityandavailability理解并运用保密性、完整性与可用性的概念D.Developandimplementsecuritypolicy制定并施行安全政策D.1Securitypolicies安全政策D.2Standards/baselines标准/基准D.3Procedures程序D.4Guidelines方针D.5Documentation文件编制E.Managetheinformationlifecycle(e.g.,classification,categorization,andownership)管理信息的生命周期(如分类、归类与所有权)F.Managethird-partygovernance(e.g.,on-siteassessment,documentexchangeandreview,process/policyreview)管理第三方治理(如现场评估、文件交换及审查,过程/政策审查),关键知识领域,G.Understandandapplyriskmanagementconcepts理解并运用风险管理的概念G.1Identifythreatsandvulnerabilities身份识别的威胁与漏洞G.2Riskassessment/analysis(qualitative,quantitative,hybrid)风险评估/分析(定性型、定量型、混合型)G.3Riskassignment/acceptance风险分配/接纳G.4Countermeasureselection对策选择G.5Tangibleandintangibleassetvaluation对有形资产和无形资产的评估H.Managepersonnelsecurity管理人员安全H.1Employmentcandidatescreening(e.g.,referencechecks,educationverification)求职者甄选(如证明人核实、教育背景查证)H.2Employmentagreementsandpolicies雇佣协议与政策H.3Employeeterminationprocesses员工解雇流程H.4Vendor,consultantandcontractorcontrols销售方、顾问与承包商控制,关键知识领域,I.Developandmanagesecurityeducation,trainingandawareness发展并管理安全教育、安全培训与安全意识J.ManagetheSecurityFunction管理安全功能J.1Budget预算J.2Metrics衡量标准J.3Resources资源J.4Developandimplementinformationsecuritystrategies开发并实施信息安全策略J.5Assessthecompletenessandeffectivenessofthesecurityprogram评估安全项目的完整性与有效性,目录,安全基本原则(FundamentalPrinciplesofSecurity)安全定义(SecurityDefinitions)控制类型(SecurityDefinitions)安全架构(SecurityFrameworks)安全管理(SecurityManagement)风险管理(RiskManagement)风险评估和分析(RiskAssessmentandAnalysis)策略、标准、基线、指南和流程(Policies,Standards,Baselines,Guidelines,andProcedures)信息分级(InformationClassification)责任分层(LayersofResponsibility)安全指导委员会(SecuritySteeringCommittee)安全治理(SecurityGovernance),安全基本原则FundamentalPrinciplesofSecurity,保密性(Confidentiality)确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性(Integrity)确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。可用性(Availability)确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。,CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:,安全基本原则,可用性(Availability)确保授权的用户能够及时、可靠地访问数据和资源完整性(Integrity)保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改保密性(Confidentiality)强制实施了必要的保密级别,防止为经授权的信息披露肩窥(Shouldersurfing)通过穿过别人的肩膀获取未经授权的信息的一种方法社会工程(Socialengineering)通过欺骗他人获取未经授权访问的信息,安全基本原则,平衡的安全,安全定义SecurityDefinitions,威胁因素(Threatagent),威胁(Threat),脆弱性(vulnerability),风险(Risk),资产(Asset),暴露(exposure),安全措施(Safeguard),Givesriseto引起,Exploits利用,leadsto导致,Candamage可以破壶,Andcausesan并且引起,Canbecountermeasuredbya能够被预防,Directlyaffects直接作用到,安全定义,脆弱性(vulnerability)一种软件、硬件或者过程缺陷。并可以给攻击者提供便利,产生未授权的访问。威胁(threat)任何对信息或系统潜在的威胁风险(risk)威胁因素利用脆弱性所造成的损失的潜在的可能性。暴露(exposure)因威胁因素而遭受损失的一个案例对策(countermeasure,orsafeguard)可以减轻潜在风险的策略或者安全措施,威胁threat,暴露exposure,脆弱性vulnerability,对策countermeasure,风险risk,控制类型SecurityDefinitions,控制类型Controltypes:管理控制、技术控制和物理控制控制功能Controlfunctionalities:威慑Deterrent挫败潜在攻击者。预防Preventive防止意外事件发生。纠正Corrective事件发生后修复。恢复Recovery恢复必要的组件到正常的操作状态。检测Detective事件发生后识别其行为。补偿Compensating向原来的控制措施那样提供类似保护要。深度防御Defense-in-depth为使成功渗透和威胁更难实现而采用多种控制措施。,安全架构(SecurityFrameworks),安全框架,COSO反舞弊财务报告委员会发起组织委员会(COSO)-成立于1985年,负责主持全美反虚假报告委员会工作,根据研究结果向上市公司及其审计师、证劵交易委员会以及其他监管机构提出建议。COBITCOBIT是由IT治理协会发布的IT治理框架和支持工具集。目前,ISACA正在推出新COBIT5框架的支持模块,使用术语“管理过程”代替了原来的“控制措施”。ITIL信息技术基础设施库(ITIL)第3版包括五本书,涵盖了服务管理的整个生命周期。ISO/IEC27000ISO/IEC27000系列标准提供了整个信息安全管理体系环境下的信息安全管理、风险和控制的最佳实践推荐。ISF信息安全论坛(ISF)-最佳实践标准给出了实践指南和解决方案来处理目前影响业务信息的大范围安全挑战。,安全管理(SecurityManagement),信息安全的成败取决于两个因素:技术和管理。技术是信息安全的构筑材料,管理是真正的粘合剂和催化剂。人们常说,三分技术,七分管理,可见管理对信息安全的重要性。信息安全管理(InformationSecurityManagement)作为组织完整的管理体系中一个重要的环节,其主要活动包括:识别信息资产及相关风险,采取恰当的策略和控制措施以消减风险,监督控制措施有效性,提升人员安全意识等。,信息安全管理模型,风险管理(RiskManagement),在信息安全领域,风险(Risk)就是指信息资产遭受到损坏并给企业带来负面影响的潜在可能性。风险管理(RiskManagement)就是识别风险、评估风险、采取措施将风险减少到可接受水平,并维持这个风险水平的过程。风险管理是信息安全管理的核心内容。,风险管理相关要素,资产(Asset)对组织具有价值的信息资产,包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保护。威胁(Threat)可能对资产或组织造成损害的某种安全事件发生的潜在原因,需要识别出威胁源(Threstsource)或威胁代理(Threstagent)。弱点(Vulnerability)也被称作漏洞或脆弱性,及资产或资产组中存在的可被威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害。风险(Risk)特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。可能性(Likelihood)对威胁发生几率(Probability)或频率(Freqiency)的定性描述。影响(Impact)后果(Consequence),意外事件发生给组织带来的直接或间接的损失或伤害。安全措施(Safeguard)控制(control)或对策(countermeasure),即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。残留风险(ResidlRisk)在实施安全措施之后仍然存在的风险。,匹配以下的术语和定义,暴露可能性威胁防护措施对策资产攻击/利用总风险脆弱性威胁来源/威胁源控制,对组织实现方向和目标有价值的东西。有可能对IT系统产生损害的任何环境或事件。信息或信息系统的潜在危险。某个威胁导致损失的负面事件的影响,或某次攻击所导致损失的数量。在系统安全程序、设计、实施或内部控制方面的缺陷或弱项,可能被执行(无意的或有意的)导致安全违规或违反系统的安全策略。潜在脆弱性在相关威胁环境中利用的概率或几率。企图导致损害的活动。威胁源利用信息系统的脆弱性实现猥亵的行为。保护系统的行政的、技术的或物理的措施和活动。包括对策和防护措施。事后应用的控制措施,被动性的。事前应用的控制措施,主动性的。包括威胁、脆弱性和资产价值的所有因素。,风险管理各要素相互关系,风险管理的目标,风险管理过程的逻辑方式,Risk风险,Threat威胁,Vulnerability脆弱性,AssetValue资产价值,=,ResidualRisk残余风险,Threat威胁,Vulnerability脆弱性,AssetValue资产价值,=,(,),ControlGap控制差距,风险评估和分析RiskAssessmentandAnalysis,风险评估(RiskAssessment)是对信息资产及其价值、面临的威胁、存在的弱点,以及三者综合作用而带来风险的大小或水平的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。主要任务包括:识别机构风险的各种因素评估风险发生的可能性和造成的影响,并最终评价风险水平或大小确定组织承受风险的能力确定风险消减和控制的策略、目标和优先顺序推荐风险消减对策以供实施包括风险分析(RiskAnalysis)和风险评价(RiskEvaluation)两部分,但一般来说,风险评估和风险分析同义。,风险评估一般过程,定量评估和定性评估,定量风险评估:试图从数字上对安全风险及其构成因素进行分析评估的一种方法。定性风险评估:凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。,定量风险评估概述,对构成风险的各个要素和潜在损失水平赋予数值或货币金额。当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化。定量分析有两个关键指标:事件发生的频率(用ARO来表示)和威胁事件可能引起的损失(用EF来表示)。理论上讲,通过定量分析可以对安全风险进行准确分级,但这有个前提,那就是可供参考的数据指标是准确的。定量分析所依据的数据的可靠性是很难保证的,再加上数据统计缺乏长期性,计算过程又极易出错,这就给分析的细化带来了很大困难。实际风险分析时,采用定量分析或者纯定量分析方法比较少,定量分析基本概念,暴露因子(ExposureFactor,EF)特定威胁对特定资产造成损失的百分比,或者说损失的程度。单一损失期望(SingleLossExpectancy,SLE)或者称作SOC(SingleOccuranceCosts),即特定威胁单次发生可能造成的潜在损失量。年度发生率(AnnualizedRateofOccurrence,ARO)即威胁在一年内估计会发生的次数。年度损失期望(AnnualizedLossExpectancy,ALE)或者称作EAC(EstimatedAnnualCost),表示特定资产在一年内遭受损失的预期值。,定量分析基本过程,识别资产并为资产赋值;评估威胁和弱点,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%100%之间);计算特定威胁发生的次数(频率),即ARO;计算资产的SLE;计算资产的ALE。,资产价值(AV)暴露因子(EF)=单一损失期望(SLE)单一损失期望(SLE)年发生比率(ARO)=ALE(年度损失期望),定量分析举例,假定某公司投资500,000美元建了一个网络运营中心,其最大的威胁是火灾,一旦火灾发生,网络运营中心的估计损失程度是45%。根据消防部门推断,该网络运营中心所在的地区每5年会发生一次火灾,于是我们得出了ARO为0.20的结果。基于以上数据,该公司网络运营中心的ALE将是45,000美元。,定性风险评估概述,定性分析方法目前采用最为广泛,它带有很强的主观性,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素的大小或高低程度定性分级,例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样,包括小组讨论(例如Delphi方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。定性分析操作起来相对容易,但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力。,识别信息资产,对资产进行保护是信息安全的直接目标。划入风险评估范围和边界的每项资产都应该被识别和评价。应该清楚识别每项资产的拥有者、保管者和使用者。组织应该建立资产清单,根据业务流程来识别信息资产。信息资产的存在形式多种,物理的、逻辑的、无形的。电子数据:数据库和数据文件,系统文件,用户手册,培训资料,计划等。书面文件:合同,策略方针,归档文件,重要商业结果。软件资产:应用软件,系统软件,开发工具,工具程序。实物资产:计算机和通信设备,磁介质,电源和空调等技术性设备,基础设施。人员:承担特定职能和责任的人员或角色。服务:计算和通信服务,外包服务,其他技术性服务。组织形象与声誉:无形资产。,评价信息资产,资产评价时应该考虑:信息资产因为受损而对业务造成的直接损失信息资产恢复到正常状态所付出的代价,包括检测、控制、修复时的人力和物力组织公众形象和名誉上的损失,因业务受损导致竞争优势降级而引发的间接损失其他损失,例如保险费用的增加定性分析时,我们关心的是资产对组织的重要性或其敏感程度,即由于资产受损而引发的潜在的业务影响或成果。可以根据资产的重要性(影响或后果)来为资产划分等级,例如:灾难性、较大、中等、较小、可忽略应该同时考虑保密性、完整性和可用性三方面受损可能引发的后果。,识别并评估威胁,识别每项(类)资产可能面临的威胁。一项资产可能面临多个威胁,一个威胁也可能对不同资产造成影响。识别威胁的关键在于确认引发威胁的人或物,即威胁源(威胁代理,ThreatAgent)。威胁通常包括(来源):人员威胁:故意破坏和无意失误系统威胁:系统、网络或服务出现的故障环境威胁:电源故障、污染、液体泄漏、火灾等自然威胁:洪水、地震、台风、雷电等评估威胁可能性时要考虑到威胁源的动机和能力因素(内因)。威胁发生的可能性可以用“高”、“中”、“低”三级来衡量。,识别并评估弱点,针对每一项需要保护的资产,找到到可被威胁利用的弱点,包括:技术性弱点:系统、程序、设备中存在的漏洞或缺陷操作性弱点:配置、操作和使用中的缺陷,包括人的不良习惯、操作过程的漏洞管理性弱点:策略、程序、规章制度、人员意识、组织结构等方面的不足弱点的识别途径:审计报告、事件报告、安全检查报告、系统测试和评估报告专业机构发布的漏洞信息自动化的漏洞扫描工具和渗透测试评估弱点时需要考虑其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三级来衡量。,资产、威胁及弱点关系,风险评价之前需要确定两个指标,风险影响:可以通过资产的价值评估来确定分级方式根据需要来定,例如:(1,2,3,4,5),即:(可忽略,较小,中等,较大,灾难性)风险可能性:可以通过威胁可能性、弱点暴露度的评价来综合得出需要考虑到现有控制措施的效力(控制措施会影响对威胁及弱点的判断)分级方式根据需要来定(取决于威胁和弱点的评价标准),例如:(1,2,3,4,5),即:(几乎肯定,很可能,有可能,不太可能,很罕见),对现有控制措施的考虑,从针对性和实施方式来看,控制措施包括三类:管理性(Administrative):对系统开发、维护和使用实施管理的措施,包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。操作性(Operational):用来保护系统和应用操作的流程和机制,包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。技术性(Technical):身份识别与认证、逻辑访问控制、日志审计、加密等。从功能来看,控制措施类型包括:威慑性(Deterrent)预防性(Preventive)检测性(Detective)纠正性(Corrective),风险评估矩阵,定性风险评估举例,风险场景:一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息,他可能窃取这些信息卖给公司的竞争对手。确定风险因子:影响为3(中等)可能性为4(很可能)评估风险:套用风险分析矩阵,该风险被定为S级(严重风险)应对风险:根据公司确定的风险接受水平,应该对该风险采取措施予以消减。,12(S),确定风险消减策略RiskMitigation,降低风险(ReduceRisk)实施有效控制,将风险降低到可接受的程度,实际上就是力图减小威胁发生的可能性和带来的影响,包括:减少威胁:例如,实施恶意软件控制程序,减少信息系统恶意软件攻击的机会减少弱点:例如,通过安全意识培训,强化职员的安全意识与安全操作能力降低影响:例如,制定灾难恢复计划和业务连续性计划,做好备份规避风险(AvoidRisk)或者RejectingRisk。有时候,组织可以选择放弃某些可能引来风险业务或资产,以此来规避风险。例如,将重要的计算机系统与互联网隔离,使其免遭来自外部网络的攻击。转嫁风险(TransferRisk)也称作RiSkAssignment。将风险全部或者部分地转移到其他责任方,例如购买商业保险。接受风险(AcceptRisk)在实施了其他风险应对措施之后,对于残留的风险,组织可以选择接受。,选择控制措施以降低风险,选择安全措施时首先关注的是其基本功能,其次还有效力。选择安全措施(对策)时需要进行成本效益分析:基本原则:实施安全措施的代价不应该大于所要保护资产的价值对策成本:购买费用,对业务效率的影响,额外人力物力,培训费用,维护费用等控制价值=实施控制之前的ALE-控制的年成本-实施控制之后的ALE除了成本效益,还应该考虑到以下约束条件:时间约束,技术约束,环境约束法律约束,社会约束确定所选安全措施的效力,是看实施新措施之后还有什么残留风险,评价残留风险,绝对安全(即零风险)是不可能的。实施安全控制后有残留风险或残存风险(ResidualRisk)。为了实现信息安全,应该确保残留风险在可接受的范围内:残留风险Rr=原有风险R0-控制效力R残留风险Rr可接受的风险Rt对残留风险进行确认和评价的过程其实就是风险接受的成果。决策者可以根据风险评估的结果来确定一个阀值,以该阀值作为是否接受残留风险的标准。,残留风险计算举例,风险场景:一个个人经济上那个存在问题的公司职员有权独立访问某类高敏感度的信息,他可能窃取这些信息卖给公司的竞争对手。实施控制之前:影响为3(中等),可能性为4(很可能),风险为12(S级)。实施控制之后:影响为3不变,可能性降为1,残留风险为3(L级)。应对残留风险:残留风险在可接受范围内,说明控制措施的应用是成功的。,3(L),策略、标准、基线、指南和流程Policies,Standards,Baselines,Guidelines,andProcedures,策略、标准、基线、指南和流程Policies,Standards,Baselines,Guidelines,andProcedures,方针处于策略链的最高层次,它是由组织的高级管理层发布的、关于信息安全最一般性的声明。方针应该代表着高级管理层对信息安全承担责任的一种承诺。一旦发布,要求组织成员必须遵守。方针的实施要依靠标准、指南和程序。标准标准规定了在组织范围内强制执行的对特定技术和方法的使用。标准起着驱动方针的作用,标准可以用来建立方针执行的强制机制。指南类似于标准,也是关于加强系统安全的方法,但它是建议性的。指南比标准更灵活,考虑到了不同信息系统的特点。指南也可用来规定标准的的开发方式,或者保证对一般性安全原则的遵守。彩虹系列、CC、BS7799等,都可以看作是此类。基线基线建立的是满足方针要求的最低级别的安全需要。在建立信息安全整体框架之前,基线是需要考虑的最低标准。标准的开发通常都是以基线为基础的,基线可以看作是抽象的简单化的标准。大多数基线都是很具体的,或者与系统相关,或者是陈述某种配置。程序是执行特定任务的详细步骤。位于策略链的最低层次,是实现方针、标准和指南的详细步骤,策略的种类,规章性策略用于确保组织机构遵守特定的行业规章建立的标准建议性策略强烈推荐雇员在组织机构中应该采取的某些行为和活动指示性策略告知雇员相关信息,信息分级(InformationClassification),并不是所有的数据都有相同的价值,不同数据的敏感程度也不同,组织需要判断应该投入多少资金和资源去保护不同的数据为此,通过数据分类,识别最敏感最关键的数据,从而对应选择保护措施,确保对cel各类数据的保护达到合适的水平数据分类能够宣示组织在信息安全保护方面所做的承诺通过数据分类和实施恰当的保护,可以保证信息资产的CIA政府机构沿用数据分类已经很久,但主要强调保密性,侧重于防泄密数据分类也是符合隐私或数据保护相关法律的必要活动识别信息对篡改的敏感度:以便将注意力集中在完整性控制上识别需要保护的机密性信息的敏感度:理解信息的价值满足法律要求,信息分级,根据信息的用途、价值、敏感程度等属性的不同,将信息分为不同的级别和类别,制定针对不同级别和类别的信息安全保护办法,这样在工作中只要正确标定和执行相关的保护措施,就可以比较方便、有效地保障信息的安全传统上,政府和军方比较关注信息的保密性,通常把信息分为绝密(TopSecret)、机密(Secret)、保密(Confidential)、敏感非保密(SensitiveButUnclassified)、非保密(Unclassified)民间机构对隐私保护、完整性、可用性要求比较突出,可以把信息分为保密(Confidential)、私密(Private)、敏感(Sensitive)、公开(Public)信息资产应由其拥有者(Owner)负责确定其保护级别,由保管者(Custodian)和使用者(User)应遵循与级别相关的保护要求和措施,政府机构数据分类方案示例,商业机构数据分类方案示例,三级数据分类方案示例,数据分类标准,价值(Value):价值是最通常的数据分类标准,如果信息对一个组织或者其竞争对手有价值,就需要分类寿命(Age):随着时间的推移,信息价值会降低,其分类也会降低。例如,政府部门,某些分类档案会在预定的时间期限过后自动解除分类使用期(UsefulLife):如果由于新信息的替代、公司发生的真实变化或者其他原因,信息过时了,可以对其解除分类人员关联(PersonalAssociation):如果信息与特定个人相关,或者是法律(比如隐私法)、规章和责任要求中指出的,需要分类。例如,如果调查信息揭示了调查者的名字,就需要保留分类,数据分类相关角色和责任,属主(Owner):信息属主可能是组织的某个决策者或者管理者,或者部门负责人,或者是信息的创建者,对必须保护的信息资产负责,承担着“duecare”的责任,但日常的数据保护工作则由保管者承担。信息属主的责任在于:基于业务需求,对信息分类等级作出最初决定;定期复查分类方案,根据业务需求的变化作出更改;向保管者委派承担数据保护任务的责任保管者(Custodian):受信息属主委托而负责保护信息,通常由IT系统人员来承担,其职责包括:定期备份,测试备份数据的有效性;必要时对数据进行恢复;根据既定的信息分类策略,维护保留下来的记录用户(User):任何在日常工作中使用信息的人(操作员、雇员或外部伙伴),即数据的消费者,应该注意:用户必须遵守安全策略中定义的操作程序;用户必须在工作期间承担保护信息安全的责任;用户必须只将公司的计算资源用作公司目的,不能做个人使用,分级控制,数据分级措施定义分级级别指定确定如何分类数据的准则由数据所有者指明负责的数据的分类任命负责维护数据及其安全级别的数据管理员制定每种分类级别所需的安全控制或保护机制记录上述分类问题的例外情况说明可用于将信息保管转交给其他数据所有者的方法建立一个定期审查信息分类和所有权的措施。向数据管理员通报任何变更指明信息解密措施将这些安全问题综合为安全意识计划,让所有员工都了解如何处理不同分类级别的数据,分类数据对外分发,分类信息往往需要对外分发,随即带来的隐患应该引起注意。以下是一些需要对外分类信息进行分发的例子:法律程序:为了遵守某些法律程序,分类信息可能需要泄漏出来政府合同:政府订约人可能需要根据与政府项目相关的采购协议而泄漏分类信息高层批准:高级决策层可能授权向外部实体或组织发布分类信息,此类发布可能要求外部伙伴签署保密协议,责任分层(LayersofResponsibility),董事会(BoardofDirectors)董事会由企业股东选出的一组人员组成,负责监督企业宪章的执行情况。成立董事会的是为了确保股东的利益得到保护,并且企业能够平稳运行。董事会成员应该是没有偏见的独立个人,他们负责监督行政人员在管理公司方面的表现。执行管理层(ExecutiveManagement)执行管理层由头衔以字母C开头的个人组成CEO通常由董事会主席担任,是公司内地位最高的人。担任这个角色的人负责从宏观绝度监督公司的财务、战略规划和运营。CFO(chieffinancialofficer,首席财务官)负责公司的账目和财务活动以及组织机构的总体财务结构。他负责决定组织机构的财务需求,以及如何为这些需求提供资金。,执行管理层,CIO(ChiefInformationOfficer,首席信息官)处于公司组织结构的较低层。根据企业结构,他们负责向CEO或CFO上报,并且负责组织机构内部信息系统和技术的战略使用与管理。越来越多的组织机构要求CIO进入高级管理层。CIO的职责已经扩展到在业务流程管理、收入来源以及如何利用公司的内在技术实现业务战略方面与CEO(和其他管理层)进行合作CPO(ChiefPrivacyOfficer,首席隐私官)是一个较新的职位,设立该职位主要是因为公司在保护各种类型数据方面面临日益增长的需求。这个角色负责确保客户、公司和雇员数据的安全,避免公司陷入刑事和民事诉讼,并防止公司由于数据泄露而登上新闻头条。这个职位通常由律师担任,并直接参与有关数据的收集、保护盒将数据交付给第三方的策略制订。,执行管理层,CSO(ChiefSecurityOfficer,首席安全官)了解公司面临的风险和将这些风险缓解至可接受的级别。这个角色要了解组织机构的业务推动了,并为促进这些推动力而制订和维护一个安全计划,同时还负责提供安全、确保遵守大量法律法规以及满足客户需求或合约义务。,安全指导委员会(SecuritySteeringCommittee),审计委员会(AuditCommittee)公司财务报表以及向股东和其他人提供的财务信息的完整性公司的内部控制系统独立审计员的雇佣和表现内部审计功能实现遵守与道德有关的法律要求和公司策略数据属主(Dataowners)确定数据的分类等级,确定访问特权,维护信息系统中数据的正确性和完整性数据保管(DataCustodian)负责保管系统/数据库,通常就是网络和系统管理人员系统所有者(SystemOwner)包括网络、主机、数据库、应用等的系统管理员根据安全管理的要求对自己所负责的系统进行日常安全保障,安全指导委员会(SecuritySteeringCommittee),安全管理员(SecurityAdministrator)负责实施、监视并执行安全规定和策略各部门可以设立自己的安全管理员,负责执行本部门安全管理事务向安全委员会/信息安全主管报告安全分析员(SecurityAnalyst)帮助制订策略、标准和指南,并设立各种基准应用程序所有者(ApplicationOwner)业务部门经理,负责规定哪些人有权访问他们的应用程序监督员(Supervisor)也称为用户经历,主要负责所有用户活动以及由这些用户建立并拥有的资产,安全指导委员会(SecuritySteeringCommittee),变更控制分析员(ChangeControlAnalyst)负责批准或否决变更网络、系统或软件的请求数据分析员(DataAnalyst)保证以最佳方式存储数据,从而为需要访问和应用数据的公司与个人提供最大的便利流程所有者(ProcessOwner)负责正确定义、改进并监控这些过程方案解决商(SolutionProvider)用户(User)具备应有的安全意识遵守安全策略,恰当使用信息和系统,通报安全事件,安全指导委员会(SecuritySteeringCommittee),生产线经理(ProductLineManager)审计员(Auditor)向安全目标管理提供独立保障检查系统,判断系统是否满足安全需求,以及安全控制是否有效,安全指导委员会(SecuritySteeringCommittee),人员安全职责分离(Separationofduties)不应有人从头到尾地完全控制一项牵涉到敏感的、有价值的、或者关键信息的任务。例如金融交易中,一个人负责数据录入,另一个人负责检查,第三人确认最终交易。双重控制:开发/生产;安全管理/审计;加密密钥管理/密钥更改。知识分割:加密密钥分成两个组件,任何一个都不会泄漏另一个。工作轮换(Jobrotation)不允许某人过长时间地担任某个固定的职位,其目的是避免个人获得过多的控制。设置人员备份,有利于交叉培训,有利于发现欺诈行为。强制度假(Mandatoryvacation)要求担任敏感职位的人员度假。让某些职员离开岗位一段时间,其他人就能介入并检查其疏漏,安全指导委员会(SecuritySteeringCommittee),人员离职(Termination)人员离职往往存在安全风险,特别是雇员主动辞职时解雇通知应选择恰当的时机,例如重要项目结束,或新项目启动前使用标准的检查列表(Checklist)来实施离职访谈离职者需在陪同下清理个人物品确保离职者返还所有的公司证章、ID、钥匙等物品与此同时,立即消除离职者的访问权限,包括:解除对系统、网络和物理设施的访问权解除电话,注销电子邮箱,锁定Internet账号通知外部伙伴或客户,声明此人已离职,背景检查(BackgroundCheck),背景检查是工作申请过程的一个部分,组织至少会审查申请人简历中的基本信息。可以通过ReferenceCheck来了解其真实履历。对于敏感职位,可能还会考虑进一步的调查。调查过程中,组织可以请求访问申请人的信用和犯罪记录,甚至可以聘请外部公司对申请人进行调查,以确定是否存在潜在问题或利益冲突。通过背景检查,可以防止:因为人员解雇而导致法律诉讼因为雇用疏忽而导致第三方的法律诉讼雇用不合格的人员丧失商业秘密员工从一般岗位转入信息安全重要岗位,组织也应当对其进行检查,对于处在有相当权力位置的人员,这种检查应定期进行。,保密协议(ConfidentialityAgreement),组织应与所有员工签订保密协议(或者NDA,NondisclosureAgreement),作为雇用合同基本条款的一部分保密协议应明确规定雇员对组织信息安全的责任、保密要求及违约的法律责任签订保密承诺旨在加强员工对组织信息安全应承担
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025江西职业技术大学高层次人才招聘51人模拟试卷带答案详解
- 2025春季内蒙古包头市中心医院引进高层次和紧缺急需人才招聘29人考前自测高频考点模拟试题及参考答案详解1套
- 2025国家能源集团煤炭经营分公司高校毕业生招聘(第二批)人员(已结束)模拟试卷及答案详解(名校卷)
- 2025年河北地质大学选聘工作人员85人考前自测高频考点模拟试题及答案详解(考点梳理)
- 2025江苏无锡市锡山区卫生健康系统招聘事业编制卫生人才15人(校园招聘)考前自测高频考点模拟试题附答案详解
- 2025湖南邵阳市新宁县政府发展研究中心、新宁县金融服务中心公开选调工作人员3人模拟试卷带答案详解
- 2025年氢氧化镉项目发展计划
- 2025年衢州市卫生健康委员会“引才聚智‘医’起向未来”医疗卫生人才招聘78人考前自测高频考点模拟试题及答案详解一套
- 2025年特种用途钢丝及钢丝绳合作协议书
- 2025江苏徐州市泉山国有资产投资经营有限公司部门负责人选聘2人(二)考前自测高频考点模拟试题及参考答案详解1套
- 学堂在线 公共管理学 章节测试答案
- 专项质量护理管理制度
- 现金采取限额管理制度
- 电子商务案例分析-京东商城
- 2025-2031年中国污水处理及其再生利用市场深度分析及投资战略咨询报告
- 机械加工生产工艺流程图
- 河南开放大学《PHP网站开发技术》形考题库答案
- 2025-2030中国工业用高温热泵行业市场发展趋势与前景展望战略研究报告
- 西方园林特色
- DG-TG08-12-2024 普通中小学建设标准
- 初三物理《电学》培优卷
评论
0/150
提交评论