安全教育是智能安全的核心要素

smart-security
在电子沟通时代,让用户了解到可接受的安全使用政策,比以往任何时候都要重要。加强对用户的教育已经日渐成为保障公司网络安全防止互联网攻击的中心任务。特别是在想拥抱移动计算的组织,想充分发挥自带计算设备BYOD的生产力,让用户担负起保障个人设备安全的职责,我们更需要让用户了解他们的行为会如何影响到公司的安全风险指数。

企业安全、人力资源以及信息科技部门必须联合起来,设定清晰宜理解的员工安全规则,并且加强对最终用户进行适当的安全教育培训推广活动,以让人们知道违反或不遵守安全规则可能带来的后果。

企业信息安全管理已经由传统的边界网络控管“冷兵器”时代进入到“人治”时代。显然,信息安全想取得成功越来越依赖人们的理解和支持。昆明亭长朗然科技有限公司安全教育专员James Dong称:在信息安全管理领域,尽管各类技术型的控管措施不断出台,但可以确定的是在未来,一定是“得民心者得安全”。

除了主动向用户沟通宣传信息安全之外,我们还应该定期对用户进行内部安全政策的认知检测,这样可以鼓励用户积极学习安全规章制度,以及让用户们更清楚地认识到违反安全政策和规则可能给公司带来的危害。

简单实用的,基于通常的员工保护数据安全常识的检测往往是最有效的,这些内容包括立即报告丢失的移动设备、与企业安全及信息技术部门紧密联系、不随意从不可信来源下载安装移动应用、不关闭相关的安全功能并且确保使用与公司系统相容的强健密码等等。

而在保障与业务相关的敏感数据方面,除了加强数据加密和访问权限控管之外,用户的安全教育是获得商业智能安全的核心要素。更好的安全意识以及早期预防有助于防范绝大多数平常的安全渗透招式,特别是那些APT攻击所乐意利用的社会工程学攻击伎俩。

不同类型的公司对安全教育的需求和理解各不相同,同样体现在可用于员工安全教育之上的预算投入。如何充分利用有限的金钱,来获取更多的安全教育培训产出呢?昆明亭长朗然科技有限公司新推出的安全前线在线培训产品,可以适合各种规模和预算的客户,欢迎在线体验。同样对于想强化安全意识测试来鼓励用户积极学习安全策略和标准要求的客户,可以使用更低的投入,欢迎联系我们参加在线免费试用

聊聊ISMS文件体系及管理平台

为了简化在信息安全管理体系的工作量,有组织机构设立了相关的文档范例和模板,甚至开发或采购了相应的管理系统。对此,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示:使用文档模板效率比较低,对于中小型机构来讲,成本也比较低。一套管理平台的费用肯定不少,上线配置、推广使用和后期运维都要花钱。而对于大型机构来讲,使用系统平台,会提升效率,同时降低成本,这是因为大型机构如果大量使用手工进行文档模板的填写,显然是人力资源的严重浪费。

不管组织机构的规模如何,都需要从构建文档体系开始,不建议在初期就直接采用市面上已有的信息安全管理系统平台。为什么呢?信息安全管理是一个逐渐发展和成熟的过程,如果一开始就使用系统平台,貌似获得了跳跃式的发展,实则根基不牢,很多用户根本不懂为什么要使用,就如同小婴儿还没学会爬的时候,却想起来跑一样,就这很简单的道理,科学的生长和发展规律不要违背。而有了从手工文档模板到档案存档到电子化再到系统化的发展过程,可以让人们看到管理过程的进步,让人们看到发展变化,让用户们持续保护对信息安全文档要求的理解。

文件体系的建设包括两大方面。一方面,是可用来参考的流程类文档如方针政策、标准、作业流程和操作指南等。我们的建议是最初起草这些文档时,不要在它们的基础上更改,如果有相关的文档管理系统,则应先按照标准化文档的要求自行准备,之后再和参考范例文档进行对比,并做相应的改进。

另一方面,是文档模板的建设、改进与完善,我们建议初次开始导入信息安全管理体系的组织先自行开发各类模板,如资产登记清单,风险评估模板,控制措施清单等。如果有相关的文档管理系统,则可考虑使用集中的文档管理系统。

之所以建议初始导入ISMS的组织先自行建立它们是方便组织对整个过程的深入了解和掌握,这样做也更容易形成管理体系文件架构,然后是底层文件,即用于证明ISMS各项活动的记录表格就比较容易得到完成。

当然,已经初步建立起文档体系的组织机构可以考虑选择管理工具包,即自动化的管理系统,常见的一些ISMS系统的功能包括:资产管理、风险管理等等。

组织可以考虑自行开发或采购商业化产品,自行开发的产品会更适合组织的实际需求;商业化的产品会给组织带来更多的专家经验。组织亦可以考虑外包这类系统的开发和维护,甚至使用“云”信息安全管理系统。

注意,也有供应商会将更多功能整合,比如IT系统的监控、日志审计和管理控制平台等,一般我们不推荐和ISMS文档管理系统整合,但是组织想根据自身情况考虑一下也无妨。

最后,是我们的常规性建议,通常来讲,建立一套信息安全管理体系文件系统并不难,集中力量执行一次安全检查审计和整改活动也容易,难在坚持不懈。发展良好的优秀的组织机构会保持对制度流程的持续执行和不断改进,最终形成习惯性的最佳实践。而混乱的组织机构往往会大搞运动,今天搞这明天搞那,捡了芝麻,丢了西瓜。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构提升全员的安全意识,我位推出了针对管理层的信息安全管理体系快速课程,以及针对全体职员的信息安全意识动画视频、电子课件和图片,欢迎有兴趣的客户及合作伙伴联系我们,洽谈购买及合作事宜。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898