K書筆記本-Information Security & Risk Management (05)

經過了選人、用人,找到一個對的人做適當的工作,但是在人力使用的過程中又和安全有何相關呢?
如果今天企業是用了一個不對的人,而且是有意的要損壞企業的人,那麼對於安全這個架構而言
就是最大的打擊了,當然用人也有安全的控制方法,一般來說對於人員的應用有分為職務面、權責面…

經過了選人、用人,找到一個對的人做適當的工作,但是在人力使用的過程中又和安全有何相關呢?
如果今天企業是用了一個不對的人,而且是有意的要損壞企業的人,那麼對於安全這個架構而言
就是最大的打擊了,當然用人也有安全的控制方法,一般來說對於人員的應用有分為職務面、權責面
若是一個重大且機密的工作全完托負給一個人,企業本身是否也要承擔著有可能這個人是會洩露的風險?
因此對於重大的機密也必須以其它的控制方法來控制資訊本身的安全:
1.Job Descriptions(工作說明書):訂義了角色及職責,工作說明書必須述明各項職責、任務需完整規範。
2.Separation of Duties:也叫Segregation of duties、Two-man Control、Multi-party control,
最主要的是要將一個重要的工作分給多個人來處理,以達成相互監視,也加深了入侵者的難度,
但是有沒有可能這些分工的人會共謀呢???這種控制法可以避免A.I.C.中的I2(確保授權都做未經授權的事)。
3.Job Rotation(職務輪調):因為職責分工還是有共謀的可能性,但是透過職務輪調讓每一次共謀的可能性降低,
例如像運鈔車的人員,當天上工時才知道開車、監鈔及保全的人員是何人,加深了共謀的難度,也確保了重要資訊資產的安全。
4.Least Privilege(最小權限):最小權限所使的就是當一個沒有權限的人要執行某個工作時,完成這項工作所需要的權限,
僅僅能完成這份托付工作所需要的權限即是最小權限。
5.Need to Know(僅知原則):僅知原則是配合最小權限所施行的控制措施,意指在完成某項工作所需要知道的內容。
※注意喲~~~!本項控制並不等於最小權限。
6.Manadatory Vacations(強制休假):強制休假是對於事件調查的一個手段,在很多狀況之下,當有人員作未經授權的工作時,
對於有問題的流程會適時的做保護,因此當調查在一個有問題的內容時,透過強制休假來調查、發現弊端。

但畢竟企業必須靠有業務才能存活下來,因此對於資安的推行並不是唯一,但企業中的資訊安全又必須由上至下落實
這個時侯就必須透過資安文化的建立,對於不同的職等、層級人員也要給予不同的資訊安全的教育、訓練
因為人員的不同有不同的教育方式,而這些教育方式分為:Awareness, Training, Education.
Awareness training:一般針對的是非資訊人員,主要是要讓我們的雇員們了解到我們的安全政策…等,能對於資訊安全有基本的了解、
例如個人資訊、職務資訊、社交工程…等等的資安問題及議題,對資安有基本的應變。
Job Training:工作訓練是針對資訊安全工作人員所需要的工作技能,投入所需的訓練,並且確保各項工作內容所需要的工作技能,
得以得到完整的訓練,並且得以勝任資訊安全工作。
Professional Education(專業教育):與工作訓練最大的不同是在於以教育資訊安全相關決策為主,對象多為管理階層或是其候選人為主。

即然有了資訊安全的相關教育、訓練,那麼什麼是好的訓練方式呢?當然對於一個好的教育訓練有幾個要素:
1.選擇恰當的議題。
2.選定範圍及內容。
3.選擇適合的接受教育、訓練的人員。

呼~~~!一口氣說了這麼多,總算該進入到Risk Management(風險管理),這個議題是Jason最喜歡的一個議題
任何東西都離不開風險管理,只要是事情進入到開始的階段,一定都要開始選擇控制風險的控制措施
不管是那種理論,都分不開…待續。


Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security