在所有的安全解决方案中,人都是最脆弱的一环,因为人可以找到方法绕过所有的安全控制措施。为了应用安全治理,就必须利用策略/程序和安全意识培训来加强这个安全链路中最薄弱的环节。
一、人员安全策略和程序
1. 招聘前
招聘前需要为岗位创建职责描述,以便确保组织内部就招聘哪类人才达成一致。职责描述要定义分配给员工的角色和任务,以及该职位需要访问的资源类型和范围。
在拟定职责描述时,需要考虑如下重要安全原则
1)职责分离 - separation of duties: 将关键的、敏感的工作任务分割给多个操作人员。它是最小特权的一个应用,也是为了预防欺诈。
2)岗位轮换 - job rotation:在多个工作岗位之间轮换员工。提供一种同级审计形式,预防欺诈和滥用职权。
2. 招聘中
候选人筛选:可以通过背景调查、推荐信调查、学历验证和安全调查验证来筛选值得信任的候选人。
雇佣协议中还可包含 NDA(保密协议-防止离职员工泄漏组织机密信息) 和NCA(竞业协议-组织了解组织秘密的员工加入竞争对手公司)
3. 招聘后
入职程序:1-在组织的IAM中添加新员工,请参考访问控制单元中的第八节-新用户证明与注册。2-为员工提供入职培训。
离职程序:员工离开后,需将其身份从IAM中删除,包括取消或删除账号与权限,不再允许进入办公大楼。通过离职面谈来基于保密协议/竞业协议等对前雇员的责任和限制进行审查。
如果员工是被解雇,需要通过尊重的态度来处理解雇流程
1)终止合同时有至少一名证人在场。
2)解雇通知时,回收组织的身份标识、访问权限,密钥,令牌。
3)通知完成后,护送员工离开办公场地。
4. 针对供应商的协议和控制
SLR-服务级别要求: 是招标阶段对供应商产品和服务的性能期望声明
SLA-服务级别协议:是用来确定外部供应商提供的服务、人员的服务水平。它可以包括具体的服务KPI约定以及无法维持协议规定情况下的赔偿措施。 常见的内容有:系统正常运行时间占比,最长连续停机时间,最大负载/平均负载, 故障诊断职责,故障切换时间等。
二、安全意识培训
应该改变用户行为,才能很好支持安全解决方案的实施。这就要求组织为内部员工提供一定程度的学习支持,包括安全意识,培训和教育。
应该采取周期性内容评审方式,定期对意识,培训和教育恰当程度和内容相关性进行评估。
1. 安全意识:
目的:得到用户对安全放在首位的认可,帮助认识到自身的安全责任和义务
对象:组织内所有员工
方式:可以是课堂学习,在线学习,或者通过组织的讲话,公告,演讲,办公用品宣传等
2. 培训:
目的: 教导员工执行他们的工作任务时遵守安全策略
对象:具有类似工作职能的员工群体(HR,开发工程师,新员工)
培训需要持续进行。
3. 教育:
目的:参加认证,培养个人成为安全专家
方式:通常有外部机构提供
参考资料:
CISSP Official Study Guide - 第九版英文版 及 第八版中文版
网友评论