导图社区 人员管理和风险管理的概念
虽然叠字的出现影响了整体的美观,但并不妨碍它内容的详细全面,其从人员安全策略和程序,建立和维护安全意识、教育和培训计划等内容阐述人员管理和风险管理的概念
编辑于2022-08-17 23:06:59 北京市第2章 人员安全和风险管理的概念
2.1 人员安全策略和程序
招聘新员工的步骤
创建职责描述或岗位描述、设置工作级别、筛选应聘者、招聘和培训
职责描述的重要性
职责分离
最小特权原则在管理员之间的应用
防止串通的保护措施
工作职责
常规执行的具体工作任务
最小特权原则
岗位轮换
提供知识备份
降低欺诈、数据更改、盗窃、破坏和信息滥用的风险
也提供了一种同级审计形式,并可防止串通
需要维护最小特权原则
定期审核已检查是否存在特权蔓延或特权与工作职责不一致
交叉培训
常当做工作岗位的替代方案
应急响应程序
候选人筛选及招聘
基于职责描述定义的敏感性和分类
特定职位的敏感性和分类取决于担任该职位的人员有意或无意违反安全规定造成的危害程度
雇佣协议及策略
雇佣协议
保密协议(NDA)
非竞业协议(NCA)
试图阻止了解组织秘密的员工加入另一个与该组织存在竞争关系的组织,使第二个阻止不能利用该员工了解的秘密谋利
通常有时间限制
定期审查每个职责描述的范围与实际发生的情况有助于将安全违规行为保持到最低程度
关键部分:强制休假
入职和离职程序
IAM(身份和访问管理系统)
入职也指组织特性的社会化
在职责分离的背景下,精心设计的入职培训的另一个好处是实现最小化特权原则
应该以私下的和尊重的态度来处理员工解雇过程
也需要采取预防措施
供应商、顾问和承包商的协议和控制
SLA很重要
系统运行时间(占总运行时间的百分比)
最长连续停机时间(以秒/分钟等计算)
最大负载
平均负载
诊断职责
故障切换时间
SLA以及供应商、顾问和承包商的控制是降低风险和规避风险的重要部分
明确规定对外各方的期望和惩罚
合规策略要求
隐私策略要求
2.2 安全治理
安全治理通常与公司治理和IT治理密切相关并有交集,共同目标都是维护业务流程,同时努力实现增长和弹性
第三方治理
可能由法律、法规、行业标准、合同义务或许可要求强制规定的监督制度
将安全监督应用到组织所依赖的第三方
重点是验证安全目标、需求、法规和合同义务的合规性
目标单位和监管机构都应进行全面和开放的文件交换和审查,组织应向监管机构提交安全策略和自我评估报告
文件审查通常是在现场审查前进行
2.3 理解并应用风险管理理念
前言
风险管理的整体过程用于制订和实施信息安全策略
某个组织认为可接受的风险对另一个阻止来说可能是无法接受的高风险
设计和实施一个完全没有风险的环境是不可能的,但通过较少努力就显著降低风险却是可能的
实现风险管理目标的过程称为风险分析
风险术语
资产
如果组织认为其控制的某种资源有价值并需要保护,那么这种资源可称为资产
资产估值
威胁
脆弱性
暴露
风险
=威胁*脆弱性
防护措施
指任何能消除或减少脆弱性,或能抵御一个或多个特定威胁的事物,是减少或消除风险的唯一手段
防护措施、安全控制或控制措施未必是购买新产品,重新配置现有元素甚至从基础设施中删除某些元素也是有效的防护措施。
攻击
破坏
识别威胁和脆弱性
执行风险分析应该是一个团队而不是单独的个人,成员应该来自组织内的各个部门
以组织人员为基础,确定多样化的团队将有助于彻底识别和解决所有可能存在的威胁或风险
风险评估和分析
定量风险分析
完全靠定量分析是不可行的,并不是所有分析元素和内容都可量化,因为有些元素和内容是定性的、主观的或无形的。
从资产评估和威胁识别开始
六个主要步骤或阶段
分配资产价值
为每一个资产分配资产价值
计算暴露因子
研究每一项资产可能面临的所有威胁,对于每个列出的威胁,计算暴露因子和单一损失期望
EF(暴露因子):潜在损失。仅表示当单个风险发生时对整体资产价值造成的损失预期值,用百分比表示
计算单一损失期望
SLE(单一损失期望):SLE=AV(资产价值)*EF(暴露因子)
评估年度发生率
执行威胁分析,计算每个威胁在一年之内实际发生的可能性,也就是年度发生率
ARO(年度发生率):可从历史记录、统计分析或推算得到结果,也被称为概率测定。
ARO是将单个威胁发生的可能性乘以引起威胁的用户数量来计算的
计算年度损失期望
通过计算年度损失期望,得到每个威胁可能带来的总损失
ALE(年度损失期望):SLE(单一损失期望)*ARO(年度发生率)
进行防护措施的成本\效益分析
针对每项资产的每个威胁的每个防护措施进行成本\效益分析,为每个威胁选择最合适的防护措施
涉及的计算
计算使用防护措施后的年度损失期望
大多是情况下,即使采用防护措施后,资产的EF仍保持不变
安全措施的目的是降低ARO
计算防护措施成本
必须度量部署费用或防护措施的与受保护资产价值之间的关系
受保护资产的价值决定了保护机制的最大支出
计算防护措施的成本\效益
防护措施实施前的ALE-防护措施实施后的ALE-防护措施的年度成本(ACS)=防护措施对公司的价值
评估防护措施时,每年节省或消耗的费用不应该是唯一考虑的因素,还应考虑法律责任和应尽关系原则
大多数情况下,成本/收益最大的就是针对特定资产的特定风险实施的最佳防护措施
定性风险分析
更多的是基于场景而不是基于计算
多种技术:头脑风暴、Delphi技术、故事板、焦点小组、调查、问卷、检查清单、一对一的会议、面谈
风险响应
对风险的可能反应
降低或缓解
通过实施防护措施和控制措施以消除脆弱性或组织威胁
可能变体是风险规避,即通过消除风险发生的原因来规避风险
转让或转移
常见形式是购买保险和外包
接受
威慑
对可能违反安全和策略的违规者实施威慑的过程
规避
是选择代替的选项或活动的过程,代替选项或活动的风险低于默认的、通用的、权益的或廉价的选项
拒绝或忽略
对风险的可能响应是拒绝或忽略的,否认风险的存在并希望永远不会发生,并不是合法的、正确的风险响应方式
残余风险
是管理层选择接受而不去减轻的风险
总风险=威胁*脆弱性*资产价值(*只是联合作用,不是乘法)
控制间隙
=总风险-控制风险
指通过实施保障措施而减少的风险
选择与实施控制措施
技术性控制措施
管理性控制措施
物理性控制措施
适合的控制类型
威慑控制
往往取决于个人决定不采取不必要的行动
预防控制
实际上阻碍了行动,组织非预期、未经授权的活动的发生
检测控制
非实时进行,而是在活动发生后才运行
补偿控制
为其他现有的控制提供各种选项,从而帮助增强和支持安全策略
可以使另一个控制的替换
纠正控制
试图纠正安全事故引发的任何问题,可以使简单的
恢复控制
是纠正措施的扩展,但具有更高级、更复杂的能力
指示控制
以强制或鼓励遵守安全策略
安全控制评估
根据基线或可靠性期望对安全基础设施的各个机制进行正式评估
可作为渗透测试或漏洞评估的补充内容
监视和测量
安全控制提供的收益应该是可被监视和测量的
资产估值与报告
资产估值是通过部署防护措施实施资产保护的成本/收益分析的基础,是选择或评估防护措施和控制措施的一种手段
持续改进
安全再不断变化
风险框架
RMF(风险管理框架)
安全分类
选择安全控制
实施安全控制
评估安全控制
授权信息系统
监视安全控制
2.7 考试要点
2.6 本章小结
2.5 管理安全功能
安全必须是成本有效的
安全必须是可测量的
安全机制本身与安全治理过程都会消耗资源
2.4 建立和维护安全意识、教育和培训计划
实施安全培训的一个前提条件是建立安全意识
培训是一种管理性的安全控制