回复“221122”中获得“缓解内部威胁:了解并保护关键资产”PDF版 |
缓解内部威胁:了解并保护关键资产
最佳实践:明确记录并持续执行控制措施
对所有的组织行政控制(如政策和程序)有一个一致的、明确的信息, 可以减少员工在无意中损害他们的组织,或因认为的不公正而对组织或其他员工大发雷霆的机会。
1.公平,包括对任何违反行为的相称后果
2.传达给组织的全体员工
3.始终如一地执行
组织应确保行政控制提供以下内容。
-简洁和连贯的文件,包括政策或程序的理由(如果需要)。
-对员工进行一致和定期的政策培训,包括政策的理由、实施和执行。
-对组织的系统、信息和资源的使用和披露
-特权账户或管理员账户的使用
-对作为工作成果的信息的所有权
-对员工绩效的评估,包括对晋升和财务奖金的要求
-处理员工申诉的过程和程序
-规定可接受的工作场所行为的政策和程序
· 认识到变化对工作团队成员来说是特别紧张的。
· 认识到与这些压力点相关的风险增加。
· 通过清楚地传达员工队伍在未来可以期待什么来减轻风险。
挑战
组织在实施这一最佳实践时可能面临以下挑战。
.设计良好的政策-制定清晰、灵活、公平、合法和适当的组织政策和控制措施可能是困难的。
.执行政策-组织必须平衡政策执行的一致性和公平性,特别是在情有可原的情况下(如自然灾害、个人医疗事件)。
.管理政策-组织必须定期审查和更新其政策,以确保它们继续满足组织的需要,并确保将更新的政策分发给所有员工。
- 维护和执行计划时间表,根据正在进行的经验教训(包括内部和外部)、最佳做法和利益相关者的意见,更新章程指南、程序和政策。
案例研究:申诉报复 |
该内部人员后来得知,该组织正计划将该套软件的未来开发工作外包出去,将她降职、减薪,并将她调到另一个办公室。当该项目仍在该内部人员的控制之下时,她以一种隐晦的方式编写代码,以破坏项目的过渡。 该内部人员提出申诉并请了假。该组织拒绝了申诉,而该内部人员辞职了。在辞职之前,该内部人员将源代码复制到可移动媒体上,并用密码进行了加密。然后,该内部人员从她的笔记本电脑中删除了源代码,她在辞职时交出了该笔记本电脑。她解释说,她故意删除了源代码,作为上交前擦拭笔记本电脑的一部分,但她没有透露她保留了一份源代码的副本。 调查人员最终在内部人员的家中发现了该软件的加密副本。9个月后,该内部人员终于承认了她的罪 行,并提供了该加密软件的密码钥匙。她被逮捕,被定罪,被判处一年监禁,并被命令支付13,000美元的罚款和赔偿金。
|
|
一家政府实体的IT部门雇用该内线为网络管理员。该内部人员建立了该组织的网络,是唯一拥有网络密码并真正了解网络运作方式的人。他拒绝授权给其他管理员。该组织因其表现不佳而对其进行了训斥。该内部人员在被一名同事撞见后威胁该同事;随后该内部人员被重新分配到另一个项目。该内部人员拒绝交出网络密码,因此该组织终止了他的工作并将其逮捕。结果,该组织的主要计算机网络被锁定了近两个星期。 该内部人员被捕后,他的同事发现他在隐蔽的地方安装了流氓接入点 并设置了该组织的系统,如果有人试图在没有适当密码的情况下重置系统,就会失败。该内部人士向警方提供了密码,但没有一个成功。后来,他在与一名政府官员会面时交出了真正的密码,而这名官员是该内部人士唯一信任的人。该内部人士为自己的行为辩护,声称这些行为符合标准的网络安全做法。该内部人员被定罪并被判处四年监禁,目前正在等待经济处罚听证会。该组织的事件相关损失在20万至90 万美元之间。 |
快速赢利和高影响力的解决方案
所有组织
本小节中的建议适用于所有组织。
有些组织可能没有专门负责安全的部门(例如,物理安全、IT安全)。然而,这一最佳实践的基本主题仍然适用。
²确保高级管理层倡导、执行和遵守所有的组织政策。没有管理层支持的政策将不会被平等地执行,并且会失败。所有级别的管理层都必须遵守政策。如果管理层不遵守,下属就会认为这种不遵守是政策不重要的表现,或者他们的标准与管理层不同。组织还应该把政策的例外情况清楚地传达给全体员 工。 ²确保管理层向全体员工介绍所有政策和程序。雇员、受信任的外部实体和临时工应在被雇用时签署可接受的使用政策和可接受的工作场所行为政策,此后每年签署一次,或在发生重大变化时签署。签字。签署这些政策也是组织及其员工、承包商和重申任何保密协议的机会。 ²确保管理层让所有部门的工作成员都能轻松获取组织的政策。在组织的内部网站上发布政策可以促进政策的广泛传播,确保每个人都能获得最新的政策信息。 ²确保管理层强制要求对全体员工进行年度复习培训。复习培训应涵盖组织的所有方面,而不仅仅是信息安全。培训应包括人力资源、法律、物理安全和其他感兴趣的领域。培训内容可以包括但不限于政策的变化、过去一年中出现的问题以及信息安全趋势。 ²确保管理层在整个员工队伍中一致地执行政策,以防止出现偏袒或不公正的现象。组织的人力资源部门应制定政策和程序,明确规定违反特定政策的后果。这种方法使组织更容易明确和简洁地执行其政策。 |
详情更新也可以“阅读原文”
本文整理自:卡内基梅隆的第七版《缓解内部威胁的常识指南》
-
-
>>>等级保护<<< -
开启等级保护之路:GB 17859网络安全等级保护上位标准 -
网络安全等级保护:等级保护测评过程及各方责任 -
网络安全等级保护:政务计算机终端核心配置规范思维导图 -
网络安全等级保护:什么是等级保护? -
网络安全等级保护:信息技术服务过程一般要求 -
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 -
闲话等级保护:什么是网络安全等级保护工作的内涵? -
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 -
闲话等级保护:测评师能力要求思维导图 -
闲话等级保护:应急响应计划规范思维导图 -
闲话等级保护:浅谈应急响应与保障 -
闲话等级保护:如何做好网络总体安全规划 -
闲话等级保护:如何做好网络安全设计与实施 -
闲话等级保护:要做好网络安全运行与维护 -
闲话等级保护:人员离岗管理的参考实践 -
信息安全服务与信息系统生命周期的对应关系 -
>>>工控安全<<< -
工业控制系统安全:信息安全防护指南 -
工业控制系统安全:工控系统信息安全分级规范思维导图 -
工业控制系统安全:DCS防护要求思维导图 -
工业控制系统安全:DCS管理要求思维导图 -
工业控制系统安全:DCS评估指南思维导图 -
工业控制安全:工业控制系统风险评估实施指南思维导图 -
工业控制系统安全:安全检查指南思维导图(内附下载链接) -
工业控制系统安全:DCS风险与脆弱性检测要求思维导图 -
>>>数据安全<<< -
>>>供应链安全<<<
-
供应链安全指南:建立基础,持续改进。 -
思维导图:ICT供应链安全风险管理指南思维导图
原文始发于微信公众号(祺印说信安):缓解内部威胁:明确记录并持续执行控制措施
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论