如果用户没有经过适当的培训以在安全环境的范围内执行他们的工作任务,那么安全技术和管理措施就会毫无用处。因此,员工安全培训对于所有安全工作的成功都至关重要,并且应该是安全策略和业务运营的一部分。一般来讲,安全培训工作内容应包括通过在线资源进行交流、意识培训活动、入职安全宣导教育和长期支持。对此,昆明亭长朗然科技有限公司网络安全沟通专员董志军补充说:所有组织机构,不论是机关单位还是公司企业,都必须保持安全方面的沟通畅通。这意味着安全管理团队应该提前了解所有职员的安全要求,清楚地培训用户如何在维护安全的同时执行他们的工作任务。作为信息安全管理者,应该开放地与各个级别与类型的用户讨论安全问题。记住,信息安全已经不再局限于计算机安全如防病毒,以及网关安全如配置防火墙。所有的用户都是信息安全长城的组成部分,都是信息的生成者、使用者和处理者,信息安全离不开用户的理解和支持。因此,安全管理团队需积极帮助用户学习如何在保持安全性的同时提高效率和生产力。通过保持开放和丰富的沟通,管理者可以帮助防止用户故意逃避、禁用或绕过安全管控程序,包括技术措施和管理措施。
那么,如何在实施安全管控程序的过程中,让用户参与进来,进而成功建立并不断改进信息安全管理体系工作呢?除了创建与改善安全政策、管理制度与作业流程之外,还需要利用风险管理的方法,做好信息资产的保护。首先,当然是弄清楚重要的信息所在。通常来讲,有两种常见的信息安全分类方案,包括政府、军事分类和商业企业、私营部门分类。
让我们从高到低列出政府、军队分类有五个级别如下:
首先包括涉及国家秘密和军事秘密的,有相关的法规如保密法规定密级的划分。涉密之外,还有内部的不宜公开的和可公开的。
- 绝密——最高级别的分类。“绝密”是最重要的国家秘密,泄露会使国家的安全和利益遭受特别严重的损害。未经授权披露其数据将产生严重影响,并对国家安全造成严重损害。
- 机密——“机密”是重要的国家秘密,泄露会使国家的安全和利益遭受到严重损害。。未经授权披露其数据将产生重大影响,并对国家安全造成严重损害。
- 秘密——“秘密”是一般的国家秘密,泄露会使国家的安全和利益遭受损害。未经授权泄露其数据将产生显着影响,对国家安全造成一定程度的损害。
- 敏感但未分类——用于敏感或私人性质的数据,但该数据的披露不会造成重大损害。
- 未分类(可公开)——分类的最低级别。这用于既不敏感也不机密的数据。其数据的披露不会损害机密性或造成任何明显的损害。
央企国企的特别之处在于股东是国务院(国资委),地方国企的大股东往往是地方政府(国有资金),所以,央企国企处于政府机关和非政府商业企业之间,既有国家秘密也有商业秘密,当然很大可能会在处理国家秘密的同时,也会处理商业秘密。商业秘密,是指不为公众所知悉、能为中央企业带来经济利益、具有实用性并经中央企业采取保密措施的经营信息和技术信息。因国家秘密范围调整,中央企业商业秘密需要变更为国家秘密的,必须依法定程序将其确定为国家秘密。中央企业商业秘密的密级,根据泄露会使企业的经济利益遭受损害的程度,确定为核心商业秘密、普通商业秘密两级,密级标注统一为“核心商密”、“普通商密”。
民营企业保护商业秘密可以参考借鉴了国有企业和外资企业的商业秘密保护的管理模式,有四种常见或可能的商业分类级别,从高到低列出如下:
- 机密——最高级别的业务分类。这用于极其敏感且仅供内部使用的数据。如果公司的数据被披露,可能会对公司产生重大的负面影响。可对标央企“核心商密”。
- 个人——用于私人或个人隐私性质的数据,仅供内部使用。如果披露其数据,可能会对公司或个人产生重大负面影响。在全球范围内,个人信息的保护越来越受到重视,可把其单独列出,也可归为“普通商业秘密”。
- 敏感、内部——用于比公共数据要机密一些的数据。如果披露其数据,可能会对公司产生负面影响。可对标央企“普通商密”。
- 公开——最低级别的分类。这用于不适合较高分类之一的所有数据。其披露不会对组织产生严重的负面影响。
做好分类之后,应该设置一些信息访问原则,比如“必须知道”和“最小特权”原则等等,“必须知晓”安全策略是指通过划分安全域内的资源、对象或数据来授予和限制访问权限。分隔的资源可以位于更大的分类分组中。为了获得对分区项目的访问权,主体(用户)必须获得或证明需要知道——根据分配的工作任务访问资源的必要性。比如:对于核心商业秘密,应采取永久或不限定期限的保护级别,接触人员限制在领导层和核心技术人员层面。对于普通商业秘密,可以采取长期保护级别,接触人员可放宽至技术部门和相关岗位人员。对于低等级、临时性的商业秘密,根据所需保密期限,采取短期或定期的保护级别即可,接触人员也可进一步放宽至必要业务人员。
保密、合规与信息安全建设五步走
- 建立资产清单及访问控制矩阵。标签、标注是用于指导安全的分类系统的一部分,特别是在访问、处理和处置领域。用户是访问系统上的对象以执行某些操作或完成工作任务的任何主体。所有者或信息所有者是对分类和标记对象以及保护和存储数据负有最终公司责任的人,通常是单位、部门的领导。保管人、管理员是被指派或委派了妥善保管和保护物品的日常责任的主体,通常包括信息部门。用户及各级领导干部需知晓自己所担负的信息安全与保密职责,这需要通过必要的沟通和签署保密协议达成。
- 了解对法律、最佳实践和标准的遵守情况。审计也常用于合规性测试,也称为合规性检查。验证系统是否符合法律、法规、基线、指南、标准、最佳实践和政策是在任何环境中维护安全的重要组成部分。合规性测试可确保安全解决方案的所有必要和必需元素均按预期正确部署和运行。当前,主要的网络安全相关法律法规,如网络安全法、数据安全法、个人信息保护法等等都已经得到了发布和实施,组织机构应该加强合规工作,包括对员工们进行相关的普法宣教活动,以免“不知法”而犯法。
- 了解用户习惯。实施适当的安全性涉及使用技术,但也要求改变用户行为。如果用户不相信和不支持安全,他们通常会反对组织最好的安全工作。这包括解决密码行为、数据处理、清洁桌面政策、防止尾随和自带计算设备等问题。用户行为的改变非一朝一夕之事,需要长期坚持信息安全知识的宣导,通过安全桌面的检查、安全行为的鼓励,可以帮助建立良好的安全习惯和安全文化。
- 了解威胁意识。黑客几乎每天都在开发新的威胁。了解新威胁是安全的重要组成部分。进行日常研究可以帮助您保持最新状态。相关问题包括新型病毒、网络钓鱼攻击、间谍软件、勒索软件、零日漏洞和未知威胁等等。技术专业团队可以跟踪技术类的安全威胁,而利用人员漏洞的威胁,如新型的骗局、网络钓鱼术和社会工程学手法,都需要及时告知用户们,甚至通过模拟钓鱼测试的方式。
- 了解社交网络和文件分享的使用。社交网络和文件共享服务都是有风险的活动。对于大多数组织而言,应在公司网络上阻止对这些互联网内容和服务的访问。与分配的工作任务相关的社交网站通常更容易分散注意力和浪费资源。一方面,安全保密团队可以监控互联网,以防数据泄露,另一方面,也得加强用户安全知识和安全制度的宣教,不要让随手拍录、随手分享,随手转发造成泄密。
总之,IT团队做好系统和应用方面的安全,剩余大部分的安全管理工作,都需要让用户们理解和参与,这样才能在安全与效率之间保持平衡,才能在提高生产力的同时,保护好知识产权与国家秘密、商业秘密,保护好国家安全、核心利益与竞争力。
昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。