信息安全管理之风险应对计划

人们早已认识到,信息安全管理不仅仅是安装配置一些如防火墙、防病毒和上网行为管理那些安全控制系统。不过,要实现安全管理的目标,使用基于风险管理的战略方法,是不二的选择。否则,随着大流向前冲,是缺乏“智慧”的盲从行动。对此,昆明亭长朗然科技有限公司信息安全顾问专员董志军表示:信息安全风险评估的结果和输出就是风险应对计划,有了计划,执行起来就有依据、有条理,即使路径不是最优,也不会偏离大道。下面,我们简单聊一聊风险应对计划。

ISO27001及ISO27002条文中要求组织“明确风险处置计划,它为信息安全风险管理指出了适当的管理措施、资源、职责和优先级”。这些条文和详细处理管理责任细节的条文5有交叉引用。风险处置计划一定要得到记录,它应该被设置于组织的信息安全政策方面,应明确识别该组织的风险应对方法,以及接受风险的准则。当有风险应对框架时,这个准则应当和信息安全管理标准的要求相一致。

标准的相关条文都要求风险应对计划需要得到正式的定义和描述,它应该包含高优先级的信息安全行动。角色与职责的描述、操作流程的详情、日后的检视及更新等都应该得到正式的定义和分配。

记录风险处理计划

风险处理计划的核心是一个详细的时间表,它显示出,对于每一项确定的风险,该组织决定如何对待它,哪些控制已经到位,哪些额外的控制被认为是必要的,以及实施它们的时间框架。对每项风险,可接受的风险程度需要得到确定,同样要确定可将风险置于一个可接受水平的风险处理选项。

风险处置计划和风险评估计划相关联,详细的情况在前面风险评估章节中有讲到,目的是为了识别和设计恰当的控制措施,以及如在适用性声明中所描述的那样,部署、测试和改进董事会设定的风险管理方法。这一计划也应确保有足够的经费和实施资源来部署选定的控制措施,并应列清楚它们具体是什么,有哪些。

风险处理计划也应确定执行和持续改进它所必需的个人能力和广泛的培训和宣传。

风险处理计划和PDCA方法

风险处理计划是同ISMS的PDCA循环中所有四个阶段联系起来的关键文件计划。它是一种高层次的,记录在案的关于谁负责交付哪些风险管理目标、如何实现、要用到哪些资源,以及如何评估和改进它们。

总之,如果说风险评估还是“Plan 准备”阶段的话,在制定风险应对计划之后,则会进入到“Do 实施”阶段。对此,昆明亭长朗然科技有限公司董志军强调:风险应对计划是承上启下的多项选择题,要做什么,不做什么,要消除哪些风险,要降低哪些风险,要忽略哪些风险,要接受哪些风险,是艰难的选择。不可否认的是,在实施阶段需要一些专业的人员,比如懂得网络安全技术、管理的专业人员,以让其实施各类技术平台以及管理系统。与此同时,更需要全面的风险应对计划的记录,是否依据应对计划实施了?做了什么?没做什么?要有案可查,否则就是执行不力,一团糟。当然啦,做好记录,并不仅仅是为了信息安全风险管理方法的下一步“Check 检查”之输入,也是考虑到控制措施的实施会有一个“适用性”问题,需要一项适用性声明。

如果制定风险应对计划时,专业人力不足,可以咨询专业团队和人员。当然,专业人员的养成,也需要学习和实践。我们一套免费的信息安全管理体系实施教程,是一名CISO的工作和成长系列故事,欢迎有兴趣学习的人员联系我们,获取免费的观看。

昆明亭长朗然科技有限公司

信息安全保护措施一览

不管是从信息技术还是财务审计的角度看,各种资产都需要受到保护,不管是实体的和数字的,以免受到内部和外部的威胁。有趣的是,无论组织尝试保护哪种资产,保护它们的方法都非常相似。因为我们生活在一个物理世界之中,所以所有的东西,甚至连上数据,都将在物理层面以其最基本的形式存在。对此,昆明亭长朗然科技有限公司信息安全培训专员董志军补充说:人力资源记录、工程设计图、客户服务说明、生产方法和制程等等也都存在于物理领域。因此,要保护好组织的关键资产,重要的是要实施必要的安全保护措施,这些措施包括:技术防护措施、物理防护措施和人员防护措施。

安全保护措施的类型

  • 技术措施是指旨在为组织网络中包含的数据提供数字保护的硬件或软件措施。如防火墙、黑客入侵侦测、加密算法、防病毒程序等均被视为技术保护措施。
  • 物理措施是指设计和实施的屏障和监视设备,它们可以用来可防止对保存组织数据的物理网络设备造成直接的物理伤害。如栅栏、门禁、安全摄像机、备用系统、安全警卫等均被视为物理保护措施。
  • 人员措施是指旨在指导组织中所有人员的政策和程序,人员包括从高级管理人员到最终用户的员工。如输入、管理和保护所有关键数据的信息的正确的计算机和网络操作。

技术保护措施

保护网络和数据的手段首先是技术保护措施。让我们看看常见的技术保护措施,包括直接处理数字数据传输的措施,例如数字防火墙、网络入侵检测系统、防病毒程序、网络流量嗅探器、渗透测试、备份媒体、加密措施、电子取证软件以及无线加密等等,这些都是组织可以实施的一些措施。这些都是必要的,不过如果没有相应的物理保护措施和人员保护措施,也是不够的。

一些信息技术专业人员非常擅长确保其网络具有最新的技术保护措施。这些技术人员以很少有病毒成功入侵网络而感到自豪,并且是网络安全方面的专家。这些信息技术专业人员定期安装安全补丁,并不断监视网络,网络上的任何活动都逃不出他们的掌握。

尽管这些信息技术专业人员擅长保护数字数据不受潜在网络犯罪分子的侵害,但有时缺乏实际的物理安全性。缺乏物理和人员安全性的问题不容忽视,甚至有时由信息技术人员完成的数字式堡垒只能起到提供安全性的幻象作用,而实际上网络很容易受到内部威胁的攻击。

物理防护措施

当我们突破仅仅是1和0的存储数据限制之时,很快就会认识到所有数据都是以物理形式存在的。这些1和0都存储在物理硬盘驱动器上,需要对其进行物理保护,以免受外部和内部攻击。组织的敏感记录必须保存在数据库中,该数据库通常位于物理服务器机房中。安全的机房、通风、灭火系统、结实的门锁是正确保护组织服务器的一些基本要求。如果没有适当的物理安全措施来阻止未经授权的人员访问服务器机房,那么服务器硬盘驱动器上包含的数据库就会轻易曝光于大庭广众之下。其它物理设备如计算机、路由器、显示器和网络基础架构的部分也是如此。不管在网络网关处安装的防火墙有多好,如果计算机的磁盘驱动器没有受到物理保护,则未经授权的用户可以轻松地从网关内部将恶意软件直接上传到其他计算机上,其中的所有数据都会受到威胁。

人员保护措施

人员保护措施可以应对组织网络、最终用户和计算机所面临的最大风险。无论是由于能力不足、培训不足、意外的错误还是故意的作恶,最终用户都在他们工作的网络上施加着惊人的力量。通过设计和实施良好的策略,可以减轻、管理、转移最终用户所构成的许多威胁,并且在某些情况下可以完全消除这些威胁。

雇用人员并允许其访问组织的网络始终存在一定程度的风险。接受这种风险是开展业务的一部分,但是,管理人员可以通过要求雇员完成全面的岗前流程来减轻这种风险。此过程应包括几个项目,以提高成功缓解与人员相关的风险的机会。首先,面试应包括一项技能评估测试,以确保新聘员工至少掌握了就业所需的最低技能。此外,如果员工已达到最低技能要求,则可以放心地假设自己将能够学习更多知识,并且按照工作要求进行的进一步培训也不会白费。

除了进行技能测试外,对于可能接触计算机的所有人员,进行背景检查都是一项不错的措施。对于所有将来会处理资金、健康记录或客户信用卡信息的员工,应将背景调查视为绝对必要。有许多公司专门提供低成本的背景检查并可提供即时的结果,因此在决定实施招聘过程的步骤时,可以考虑外包给他们。

招聘中经常被遗忘和忽视的另一个方面是对相关资料的检查。如果新员工列出了推荐人,请给他们打电话。如果未提供推荐人,请至少提供三个参考,然后联系他们进行检查。如果在被要求时不提供推荐人,请不要雇用该人员。不要后悔没有雇用到一名“感觉良好”的人,相反,当雇用某人之后才发现他严重危害了组织的安全,那才是真的悔之莫及。通过彻底审核新进员工可以避免许多安全问题,因此,无论在组织中做出安全选择之前,请必须确保严格认真地遵守这些要求。

管理与人员相关的风险还包括适当的安全培训、对流程进行持续审查以及对安全系统进行定期的审核。一旦对新进员工进行了适当的审查,作为组织的新手,下一步就是对其进行培训。培训不仅应包括如何执行工作要求,还应包括对组织的安全策略的全面普及。在适当的地方,应该讨论安全性并将其融入员工工作的各个方面。

转移与人员相关的风险管理风险的一种选择是转移到另一个实体。这种风险转移通常有两种方式:要么将对关键流程的授权和责任交给另一个实体,要么购买了保险。例如,专门从事客户服务的第三方公司可以处理来自客户的来电和问题。可以聘请人力资源顾问来处理公司的许多人力资源问题,例如会计公司可以为公司财务提供财务上负责且符合安全要求的处理方式。制造公司雇用第三方供应商来构建产品的组件和子组件,以降低管理费用,同时还能少雇佣一些员工,避免人员直接与公司网络系统进行交互带来的安全风险。

开除对组织及其资产安全构成特定威胁的员工是消除单一威胁的一种方法。但是,由于人员是动态的,因此应对与人员相关风险的要求时刻都在变化,切记我们永远无法完全消除人员风险。

在建立信息安全政策和程序时,请仔细考虑所概述的措施在日常实践中是否可行。因为人们总是会找到规避规则的方法,他们认识那些规则影响了有效地完成工作。对此,董志军说:组织需要改善信息安全意识教育,使员工们不仅知道他们应该做什么,而且知道他们为什么要这样做以及不遵守规则的后果。

通过与众不同的信息安全意识计划与活动,让员工们不会陷入安全政策和程序根本不适用于他们的困境,进而让员工们更容易记住并遵守适用于其工作职能的安全规则。那些安全规则建立了预期的和可接受的组织资产使用和保护行为。此外,由于书面的指导难以涵盖所有的偶然性,因此用户还必须在日常工作中进行安全决策时,使用合理的判断和最高的道德标准。昆明亭长朗然科技有限公司专注于信息安全管理体系中人员保护措施的研究,我们通过帮助客户向员工们提供安全意识培训,来降低人为因素带来的信息安全风险。欢迎就这一话题联系我们,也欢迎有员工信息安全意识相关教育培训的机构联系我们,洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898