人员安全策略和程序
在所有安全解决方案中,人员都是最脆弱的元素。无论部署了什么物理或逻辑控制措施,人总是可以找到方法来规避、饶过控制措施,或使控制措施失效。
职责分离:职责分离(separation of duties)是一种安全概念,指将关键的、敏感的工作任务分给几个不同的管理员或高级操作者。可将职责分离看作最小特权原则在管理员之间的应用。职责分离也是防止串通的防护措施。
工作职责:工作职责(Job responsibilities)指员工常规执行的具体工作任务。在安全的网络环境中,必须向用户授予与工作任务相关元素的访问权限。为保持最大的安全性,访问应按最小特权原则进行分配。
岗位轮换:岗位轮换(Job rotation)或在多个工作岗位之间轮换员工,是组织提高整体安全性的一种简单手段。
好处:1. 提供一种知识备份
2.降低欺诈、数据更改、盗窃、破坏和信息滥用的风险。
应该定期审核特权、许可、权利、访问权限等的分配,以检查是否存在特权蔓延或特权与工作职责不一致的情况。当员工随着工作职责变化而不断获得特权时,就会发生特权蔓延。最终结果时员工拥有的特权超过基于最小特权原则所规定的工作特权。
交叉培训:交叉培训常被当作岗位轮换的代替方案。
采用职责分离、限制工作职责和岗位轮换方式,降低了员工愿意合伙进行非法活动或滥用职权的可能性,因为被检测到的风险非常高。
保密协议:(Nondisclosure Agreement,NDA)用于防止已离职的员工泄露组织的机密信息。
#供应商、顾问和承包商的协议和控制
供应商、顾问和承包商的控制用来确定组织主要外部实体、人员或组织的绩效水平、期望、薪酬和影响。通常,这些控制条款时SLA文档或策略中规定的。
SLA以及供应商、顾问和承包商的控制是降低风险和规避风险的重要部分。
隐私策略:
*
主动防止未经授权访问个人可识别的信息(即直接连接到个人或组织的数据点)
*
防止未经授权访问私有或机密信息
*
防止未同意或知情的情况下被观察、监视或检查
个人身份信息(PII,Personal Identifiable Information)。