×

扫描二维码登录本站

QQ登录

只需一步,快速开始

人员安全【案例】  

标签: 暂无标签
人员安全
案例:
如果有一个地下组织付给你100万元经费,让你去破解一个高度安全的系统(比如电子商务的网上支付系统),你如何最高效率地实现目标?
有的回答:“从内部突破,贿赂员工”,有的甚至认为:“不用费力去破解密码系统,有几十万就可以了,先搞到一大堆用户帐号,然后以合法身份进入系统…”
在答题时都知道内部人员违法犯罪的危害,但在实际的信息安全实践中,我们忽略的恰恰就是对人的管理。公安部曾作过统计,70%的泄密犯罪来自于内部;电脑应用单位80%未设立相应的安全管理体系;58%无严格的管理制度。如果相关技术人员违规操作(如管理员泄露密码),即便组织有最好的安全技术的支持,也保证不了信息安全。 
这个问题其实不仅在中国存在,在信息技术高度发达的美国,信息安全中对人的管理也是一个大问题。让我们看一组数据。在信息业高达发达的美国,在最近一次对600名CIO的调查表明:
●将近三分之二(66%)的被调查者说,他们公司没有完整的信息安全政策,这就意味着无法对员工进行有效的管理。
●只有不到三分之一(32%)的被调查者说,他们公司要求员工熟悉安全政策与指南
●只有23%的被调查者说,他们公司的员工得到过信息安全的培训
那么,在人员安全这个领域,ISO27001有那些高招呢?
下面我们就结合ISO27001在这个领域的措施目标与措施,来详细讨论如何通过保证人员安全来达到保护信息安全的目的。
1、控制目标-雇佣前
目标:减少人为失误、盗贼、欺诈或者设备误用所造成的风险。
在招聘员工时就要提到安全责任的问题,将信息安全要求记录在合同中,并在雇佣期内监测这种安全责任。
应当对应聘人员进行背景调查,并充分的筛选,对敏感的工作尤其要仔细甑别。所有员工和使用信息处理设备的第三方都应当签署信息保密协议。
控制措施-将安全需求列入员工作职责
 =>组织在信息安全方针中所规定的安全角色及责任,应适度地书面化于工作职责说明书中。
把对信息安全的要求,从新员工签订劳动合同哪一刻起,就烙印在员工的意识中,比在工作逐渐教育具有更直接的、更明显的效果。
应当在员工工作职责说明书中记录组织安全政策中所设定的安全角色和安全责任。工作职责说明书中的责任应当包含执行、维护组织安全政策的所有一般责任及与员工相关的保护特定信息资产的特殊责任,有关执行特殊安全管理程序或者活动的责任也可以写入说明书中,并通过适宜的方式把相关安全责任要求传达到每一个员工,使其理解并遵照执行。
控制措施-人员背景调查
 =>在招聘员工时,应当对应聘者的身份、证件及背景进行验证查核。
目前在国内人才市场上假文凭、假履历满天飞,人们随处都可以见到制售假文凭的广告,各种权学交易、钱学交易的博士硕士班也泛滥成灾。“真的假文凭”和“假的真文凭”都颇有愈演愈烈之势。据有关部门去年统计,全国持有假文凭者已超过60万人,在广东人才市场上的求职者所持有的文凭,三成是假的。
假文凭的泛滥,动摇了社会的公平和信用基础。“连人都是假的”,还有什么不能假?这种行为本身已经对社会与组织的道德、信用及安全造成了严重侵害,你还能指望这种造假之人能遵守组织的安全政策,维护组织的信息安全?所以在招聘新员工或员工升迁时,实施人员背景调查是非常重要的控制措施。
人员背景调查主要包括以下措施:
令人满意品质的有效证明;
对申请人的学历、履历的审查(完整性和准确性);
对其所宣称的学术和职业资质进行确认;
单独的身份检查(护照或者类似文件);
当一项工作涉及到能够访问信息处理设备的个人时,无论是最初聘用还是后来晋升,组织还应当做专门的信用检查,尤其对于那些处理敏感信息的设备更是如此,比如处理财务信息或者高度机密信息的设备。对于那些处于相当权力岗位的人员应当定期重复进行检查。
对合同签约方和临时员工也要进行类似的检查。如果这些员工是通过代理机构提供的,在与代理机构的合同中应当清楚定义该代理方所要承担的筛选责任,以及如果筛选没有完成或者对筛选的结果仍然存有疑虑时代理机构应当遵循的通知程序。
管理层应当评价对有权访问敏感系统的新员工和没有经验的员工所做检查监督。所有员工的工作都要由更高级的员工做定期检查并遵循一定的批准程序。
管理人员应当清楚他们员工的个人环境会影响到他们的工作。私人问题和财务问题、他们行动或者生活方式的改变、不断出现的消极情绪和精神压力异常,都可能导致欺诈、盗窃、失误或者其它安全隐患。这类信息应当做符合相关法规的处理。
2、控制目标-雇佣中
目标:确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务,并在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。
应确定管理职责来确保安全应用于组织内个人的整个雇用期。为尽可能减小安全风险,应对所有雇员、合同方和第三方用户提供安全程序和信息处理设施的正确使用方面的适当程度的意识、教育和培训。还应建立一个正式的处理安全违规的纪律处理。
控制措施-管理职责确定
=>管理者应要求所有的员工、合同方和第三方用户按照组织已建立的方针和程序实施安全行动。
管理职责应包括确保员工、合同方和第三方用户:
在被授权访问敏感信息或信息系统前知道其信息安全角色和职责;
从组织获得声明他们角色的安全期望的指南;
被激励以实现组织的安全方针;
对于他们在组织内的角色和职责的相关安全问题的意识程度达到一定级别;
遵守雇用的条款和条件,包括组织的信息安全方针和工作的合适方法;
持续拥有适当的技能和资质。
如果雇员、合同方和第三方用户没有意识到他们的安全职责,他们会对组织造成相当大的破坏。被激励的人员更可靠并能减少信息安全事故的发生。缺乏有效的管理会致使员工感觉被低估,并由此导致对组织的负面安全影响。例如,缺乏有效的管理可能导致安全被忽视或组织资产的潜在误用。
控制措施-信息安全的教育与培训
=>应当定期对组织的所有员工及相关的第三方使用者进行信息安全的教育与培训,并且教育培训的内容要经常更新。为确保用户意识到信息安全威胁和隐患,并在他们正常工作时遵守组织的信息安全政策,需要组织提供必要的信息安全教育与培训。这种教育与培训有时要扩大到有关的第三方用户。
确定培训内容
根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临的信息安全风险,确定培训内容。也就是说培训应考虑不同层次的职责、能力、文化程度以及所面临的风险。
培训与教育的目的不同,培训是使受训者获得目前工作上所需要的知识与技能,教育是使受教育者获得未来用到的知识。
信息技术的发展日新月异,信息安全教育虽然面临着一个庞大的并不断增长的知识体,但可以把基本的信息安全概念与框架作为培训与教育的基础,核心知识体一般由几下方面组成:

法律与法规       风险管理         安全意识与培训教育

信息技术安全程序    生命周期控制       处理敏感与机密信息

系统环境        管理控制         应急响应    

系统互联        运行控制         业务持续与灾难恢复
          
信息共享        技术控制

不同类型的目标听众应当有不同的教育类型:
[attachment=116]
制定培训计划
主管部门根据各部门提出的培训需求及组织对培训的基本要求,制定培训计划,培训计划包括培训项目、主要内容、主要负责人、培训日程安排(时间、地点)、培训方式、培训对象等。
实施培训
按培训计划实施培训,培训前要写好培训方案,并通知相关人员,主要有以下培训方式:
内部培训、外部培训、实习、自学考试、学术交流
采用不同媒体来宣传信息安全,如,公司邮件,网页,视频
安全规则的可视化执行
模拟安全事故以改善安全规程
员工通过签订保密协议,了解安全需求。
培训后考核
培训后要进行考核。考核内容有理论考核、实际操作技能考核等;考核形式有问答、问卷、技术演示等。根据培训考核的结果发上岗证或重新培训
控制措施-惩戒过程
=>应建立一个正式的员工违反安全的惩戒过程。
惩戒过程之前应有一个安全违规的验证过程。正式的惩戒过程应确保正确和公平的对待被怀疑安全违规的雇员。无论违规是第一次或是已发生过,无论违规者是否经过适当的培训,正式的惩戒过程应规定一个分级的响应,要考虑诸如违规的性质、重要性及对于业务的影响等因素,相关法律、业务合同和其他因素也是需要考虑的。对于严重的明知故犯的情况,应立即免职、删除访问权限和特权,如果需要,可直接护送出现场。
惩戒过程也可用于对雇员、合同方和第三方用户的一种威慑,防止他们违反组织的安全方针和程序,以及其他安全违规。
3、控制目标-雇佣的终止或变更
目标:确保员工、合同方和第三方用户离开组织或雇佣变更时以一种有序的方式进行应有合适的职责确保管理雇员、合同方和第三方用户从组织的退出,并确保他们归还所有设备及删除他们的所有访问权力。
控制措施-终止职责
=>应清晰规定和分配进行雇佣中止或变更的责任。
终止职责的传达应包括正在进行的安全需求和法律职责,适当时,还包括机密性协议规定的职责和在雇员、合同方或第三方用户的雇用结束后持续一段时间仍然有效的雇用条款和条件。
人力资源部门通常与信息安全管理经理一起负责总体的工作终止处理。在合同方的例子中,终止职责的处理要与合同方代表完成,其他情况下的用户可能由他们的组织来处理。有必要通知员工、顾客、合同方或第三方用户组织人员的变化和运营上的安排。
控制措施-归还资产=>当雇佣、合同或协议终止时,员工、合同方和第三方用户应归还所使用的组织资产。终止过程应被正式化以包括所有先前发放的软件、公司文件和设备的归还。其他组织资产,例如移动计算设备、信用卡、访问卡、软件、手册和存储于电子介质中的信息也需要归还。
当雇员、合同方或第三方用户购买了组织的设备或使用他们自己的设备时,应遵循程序确保所有相关的信息已转移给组织,并且已从设备中安全的删除。
当一个雇员、合同方或第三方用户拥有的知识对正在进行的操作具有重要意义时,此信息应形成文件并传达给组织。
控制措施-撤销访问权限=>当雇佣、合同或协议终止时,应撤销所有员工、合同方和第三方用户对信息和信息处理设施的访问权限,或根据变化调整。
工作终止时,个人对与信息系统和服务有关的资产的访问权力应被重新考虑。这将决定是否必须删除访问权力。工作的变化应反映在不适用于新的工作的权力的删除上。应删除或改变的访问权力包括物理和逻辑访问、密钥、ID 卡、信息处理设备、签名,要从标识其作为组织的现有用户的文件中删除。如果一个已离开的雇员、合同方或第三方用户知道仍保持活动状态的帐户的密码,则应在工作、合同或协议终止或变化后改变密码。




本文来自: 国际信息安全学习联盟




上一篇:企业IT项目管理中常犯的十四个错误
下一篇:风险评估过程中的风险
Solo

写了 464 篇文章,拥有财富 17950,被 18 人关注

来生做一棵树 | 一半在土里安详 | 一半在风里飞扬 | 一半洒落阴凉 | 一半沐浴阳光
您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies
candynew 发表于 2011-1-19 15:30:30
嗯,安全是很重要的
sunsun 发表于 2011-2-6 22:57:02
:lol安全第一!谢谢!
jkey6 发表于 2011-2-17 13:28:30
ITIL强调对人的管理是哪一部分呢?
nilewole2008 发表于 2011-2-25 00:50:40
人的管理,这个的确很重要
最新100贴|论坛版块|ITIL先锋论坛 |粤ICP备11099876号|网站地图
Powered by Discuz! X3.4 Licensed  © 2001-2017 Comsenz Inc.
返回顶部