【安全讲堂】有效信息安全管理三要素
作者:星期三, 十二月 31, 20140

10

近年来,许多严重的安全事件和信息泄露频频爆发。比如下面这四个案例:

1、索尼被黑

2、某急诊室护士使用病人信用卡

3、某医院由于工作疏忽造成医疗中心病历泄露

4、加拿大多伦多道明银行外包供应商遗失两卷包含约26万客户数据的备份磁带。

这些事件,以及其他大多数的信息安全事件,也许本可以避免,前提是建立一个有效的信息安全和隐私管理规程。本期安全牛讲堂给大家带来有效信息安全管理的三个要素:

· 风险管理

· 将信息安全和隐私的策略与流程形成文档

· 包括定期培训、持续意识教育活动与沟通

一、风险管理

作为更广泛的风险管理计划的一部分,如果对上面的四个案例做一下风险评估的话,每个案例都将会发现重大风险。这里仅就上面每个相应的案例,举一例说明在数据泄露前就应该识别并可以降低的风险:

1、除了部署入侵检测和防御系统,索尼应该在其网络中发生远程访问的地方发现漏洞,并建立更强的控制机制。

2、急诊室应当对工作人员实施数字监控,并且当工作人员对病人行窃时,要通过现场审计和背景调查来帮助识别。

3、医院如果实施业务风险评估应该可以诊断出对打印病历的处理过于简单。

4、如果银行建立了供应商安全和隐私规程监督管理程序,对于供应商在作业中的任何松懈都可以抓个正着。

二、策略和流程

如果每个案例都将策略和流程形成文档的话,将为所有工作人员建立参考,用以查看在整个企业正常工作活动中是什么会对信息提供有效和持续的保护,并且也将建立员工需要熟知的要求和职责。这里仅就上面每个相应的案例,举一例说明在数据泄露前就应该识别并可以降低的风险:

1、索尼应当建立文档策略和支持流程,不允许在数据文件中明文存储用户ID和密码。

2、急诊室应当实施相关策略,确保病人的所有贵重物品都放在工作人员无法接触的储物柜里。

3、医院应当有策略和规程,对要处理的包含机密信息的所有文档进行彻底粉碎。

4、道明银行应当有相关策略,要求所有备份磁带在提供给供应商之前进行加密存储。

三、教育培训

1、索尼应当为所有人员提供信息安全和隐私培训,并定期、频繁地向所有人员发送提醒,提醒他们保护好所有类型的关键任务和有价值的知识产权,防止不当释放。

2、急诊室应当为所有人员提供信息安全和隐私培训,并定期、频繁地向所有人员发送提醒,提醒他们保护好患者信息,了解其他人正在对病人财产做什么,以及如何报告可疑活动。

3、研究医院应当为处理任何形式信息的所有人员提供安全处理培训,并定期、频繁地向所有人员发送提醒,提醒他们在丢弃带有敏感信息的任何类型媒体前要进行彻底销毁。

4、道明银行应当确保其供应商和其他外包实体为他们的所有人员提供信息安全和隐私培训,并确保他们定期、频繁地提醒他们的所有人员,如何保完客户委托给他们的信息。

不论什么规模的组织,这都是保障有效信息安全管理需要遵守的底线。但实际情况却是,除了一些安全规范做的比较好的大型企业,那些无数的中小企业在很多情况下都只具备这三个核心要素中的两个,甚至是一个。

任何类型、任何规模的组织,都需要围绕上述的三个核心要素建立自己的信息安全和隐私规程。否则必将面临潜在的重大信息安全事件和隐私泄露的风险。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章