文档介绍:1
信息安全─入门手册
第9章信息安全最佳实务
2
第9章信息安全最佳实务
『最佳安全实务』的概念是指- 提供一套合宜的安全建议。
最佳实务内容所讨论的各项实务建议,多数组织都已经证明是最有效的实务经验。
3
9-1认识管理安全
这些措施主要是希望找出对于公司非常重要的信息和信息系统,并向员工解释这些信息和信息系统的重要性。
管理安全实务也会定义出可用来做為适当风险管理的资源,并指出应該负责信息安全风险的负责人。
认识管理安全熟悉技术安全应用ISO17799标准
4
9-1-1政策和程序
组织的安全政策,是用来定义组织应该遵循的安全规范。
在政策定义之后,大多数的员工都应该遵守共同的规范。
纵使无法完全遵守政策的内容,但政策本身仍是一套完整、牢靠的安全计划重要元素,因此也应该包含在实务建议之中。
最佳实务至少必须含有的政策如下:
信息政策:定义组织的机密性信息,並制定如何储存、传输、标示和销毁的标准程序。
安全政策:用户和系统管理员,需要在所有系统上建置的控制技术和安全设定。
5
使用政策:订定如何使用组织的计算机系统,以及系统操作不当的罚则。同样也需要确认是否在计算机系统上安装合法的软件,因此也被称為计算机使用许可政策。
备份程序:订定备份信息的频率,以及脱机备份的需求,同时也订定回存备份数据的时间点。
6
单有政策不足以做为组织安全计划的指导方针
组织应该制定的程序如下:
用户管理程序:程序的内容包含了『允许谁可以存取组织的哪些计算机系统』、『系统管理员用来确认发出求助需求的用户相关信息』。程序之中也定义『系统管理员该如何处理无效的账号』、『真正拥有账号的人员,才能够存取组织的网络和系统』。
7
系统管理程序:此一程序详细描述组织应该在哪些系统上,建置哪种类型的安全政策,另外也同样描述系统修补的管理和应用。
设定管理程序:这些程序制定如何变更生产系统的步骤。软硬件升级、新系统上线、移除不再使用的系统等,都包含在变更的范围中。
设计法则应该确认出『如何』、『何时』应该要设计和建置安全。
修补管理已经变成许多公司非常头痛的问題。随时修补才能减少系统的弱点,且在修补生产系统之前必须详细测试过(这样才不会造成生产系统停机),这是一项耗时但却非常重要的工作。
8
9-1-2资源
为了建置适当的安全实务,就必须配置相关的资源。
必须考虑组织的大小、组织的业务性质和组织的风险等因素,才能计算出组织所需的资源。
依据适当、完整的风险评估和风险管理计划,才能决定组织所需的资源。
图9-1显示了资源、时间和项目范围之间的关系。
9
图9-1项目管理三角关系
10
员工
不论组织规模的大小,都必须指派负责信息安全风险管理的人员。
针对规模较小的组织而言,这些工作可能会指派给信息技术人员。
规模较大的组织,可能会有安全方面的专责部门。
最佳实务不是要建议专门负责的人数,而是强烈地建议至少要有一位职责范围中,含有执行安全相关工作的员工。