信息安全治理和風險管理課件

信息安全治理和風險管理

InformationSecurityGovernanceandRiskManagementCISSP第六版培訓(xùn)課件之一信息安全治理和風險管理

InformationSecuri1關(guān)鍵知識領(lǐng)域A.Understandandalignsecurityfunctiontogoals,missionandobjectivesoftheorganization理解安全功能并將其與機構(gòu)目標、使命和宗旨相結(jié)合B.Understandandapplysecuritygovernance理解并運用安全治理B.1Organizationalprocesses(e.g.,acquisitions,divestitures,governancecommittees)組織過程（如收購、分拆、治理委員會）B.2Securityrolesandresponsibilities安全角色與職責B.3Legislativeandregulatorycompliance法律和監(jiān)管的合規(guī)B.4Privacyrequirementscompliance隱私要求的合規(guī)B.5Controlframeworks控制框架B.6Duecare盡職關(guān)注B.7Duediligence盡職調(diào)查關(guān)鍵知識領(lǐng)域A.Understandandalign2關(guān)鍵知識領(lǐng)域C.Understandandapplyconceptsofconfidentiality,integrityandavailability理解并運用保密性、完整性與可用性的概念D.Developandimplementsecuritypolicy制定并施行安全政策D.1Securitypolicies安全政策D.2Standards/baselines標準/基準D.3Procedures程序D.4Guidelines方針D.5Documentation文件編制E.Managetheinformationlifecycle(e.g.,classification,categorization,andownership)管理信息的生命周期（如分類、歸類與所有權(quán)）F.Managethird-partygovernance(e.g.,on-siteassessment,documentexchangeandreview,process/policyreview)管理第三方治理（如現(xiàn)場評估、文件交換及審查，過程/政策審查）關(guān)鍵知識領(lǐng)域C.Understandandapply3關(guān)鍵知識領(lǐng)域G.Understandandapplyriskmanagementconcepts理解并運用風險管理的概念G.1Identifythreatsandvulnerabilities身份識別的威脅與漏洞G.2Riskassessment/analysis(qualitative,quantitative,hybrid)風險評估/分析（定性型、定量型、混合型）G.3Riskassignment/acceptance風險分配/接納G.4Countermeasureselection對策選擇G.5Tangibleandintangibleassetvaluation對有形資產(chǎn)和無形資產(chǎn)的評估H.Managepersonnelsecurity管理人員安全H.1Employmentcandidatescreening(e.g.,referencechecks,educationverification)求職者甄選（如證明人核實、教育背景查證）H.2Employmentagreementsandpolicies雇傭協(xié)議與政策H.3Employeeterminationprocesses員工解雇流程H.4Vendor,consultantandcontractorcontrols銷售方、顧問與承包商控制關(guān)鍵知識領(lǐng)域G.Understandandapply4關(guān)鍵知識領(lǐng)域I.Developandmanagesecurityeducation,trainingandawareness發(fā)展并管理安全教育、安全培訓(xùn)與安全意識J.ManagetheSecurityFunction管理安全功能J.1Budget預(yù)算J.2Metrics衡量標準J.3Resources資源J.4Developandimplementinformationsecuritystrategies開發(fā)并實施信息安全策略J.5Assessthecompletenessandeffectivenessofthesecurityprogram評估安全項目的完整性與有效性關(guān)鍵知識領(lǐng)域I.Developandmanagese5目錄安全基本原則（FundamentalPrinciplesofSecurity）安全定義（SecurityDefinitions）控制類型（SecurityDefinitions）安全架構(gòu)（SecurityFrameworks）安全管理（SecurityManagement）風險管理（RiskManagement）風險評估和分析（RiskAssessmentandAnalysis）策略、標準、基線、指南和流程（Policies,Standards,Baselines,Guidelines,andProcedures）信息分級（InformationClassification）責任分層（LayersofResponsibility）安全指導(dǎo)委員會（SecuritySteeringCommittee）安全治理（SecurityGovernance）目錄安全基本原則（FundamentalPrinciple6安全基本原則

FundamentalPrinciplesofSecurity保密性（Confidentiality）——確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w。完整性（Integrity）——確保信息在存儲、使用、傳輸過程中不會被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當?shù)匦薷男畔?，保持信息?nèi)部和外部的一致性?？捎眯裕ˋvailability）——確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。CIA三元組是信息安全的目標，也是基本原則，與之相反的是DAD三元組：DisclosureAlterationDestruction泄漏破壞篡改安全基本原則

FundamentalPrinciples7安全基本原則可用性（Availability）確保授權(quán)的用戶能夠及時、可靠地訪問數(shù)據(jù)和資源完整性（Integrity）保證信息和系統(tǒng)的準確性和可靠性，并禁止對數(shù)據(jù)的非授權(quán)更改

保密性（Confidentiality）強制實施了必要的保密級別，防止為經(jīng)授權(quán)的信息披露肩窺（Shouldersurfing）通過穿過別人的肩膀獲取未經(jīng)授權(quán)的信息的一種方法社會工程（Socialengineering）通過欺騙他人獲取未經(jīng)授權(quán)訪問的信息安全基本原則可用性（Availability）8安全基本原則平衡的安全安全目標SecurityObjectives可用性Availability保密性Confidentiality完整性Integrity安全基本原則平衡的安全安全目標可用性保密性完整性9安全定義

SecurityDefinitions威脅因素（Threatagent）威脅（Threat）脆弱性（vulnerability

）風險（Risk）資產(chǎn)（Asset）暴露（exposure）安全措施（Safeguard）Givesriseto引起Exploits利用leadsto導(dǎo)致Candamage可以破壺Andcausesan并且引起Canbecountermeasuredbya能夠被預(yù)防Directlyaffects直接作用到安全定義

SecurityDefinitions威脅因素威10安全定義脆弱性（vulnerability）一種軟件、硬件或者過程缺陷。并可以給攻擊者提供便利，產(chǎn)生未授權(quán)的訪問。威脅（threat）任何對信息或系統(tǒng)潛在的威脅風險（risk）威脅因素利用脆弱性所造成的損失的潛在的可能性。暴露（exposure）因威脅因素而遭受損失的一個案例對策（countermeasure,orsafeguard）可以減輕潛在風險的策略或者安全措施威脅threat

暴露exposure

脆弱性vulnerability

對策countermeasure風險risk

安全定義脆弱性（vulnerability）威脅thre11控制類型

SecurityDefinitions控制類型Controltypes：管理控制、技術(shù)控制和物理控制控制功能Controlfunctionalities：威懾Deterrent—挫敗潛在攻擊者。預(yù)防Preventive—防止意外事件發(fā)生。糾正Corrective—事件發(fā)生后修復(fù)?；謴?fù)Recovery—恢復(fù)必要的組件到正常的操作狀態(tài)。檢測Detective—事件發(fā)生后識別其行為。補償Compensating—向原來的控制措施那樣提供類似保護要。深度防御Defense-in-depth

為使成功滲透和威脅更難實現(xiàn)而采用多種控制措施?？刂祁愋?/p>

SecurityDefinitions控制類型C12安全架構(gòu)（SecurityFrameworks）SecurityBlueprints安全藍圖COSOITILRISFCOBITISO27000安全架構(gòu)（SecurityFrameworks）Secur13安全框架COSO反舞弊財務(wù)報告委員會發(fā)起組織委員會（COSO）-成立于1985年，負責主持全美反虛假報告委員會工作，根據(jù)研究結(jié)果向上市公司及其審計師、證劵交易委員會以及其他監(jiān)管機構(gòu)提出建議。COBITCOBIT是由IT治理協(xié)會發(fā)布的IT治理框架和支持工具集。目前，ISACA正在推出新COBIT5框架的支持模塊，使用術(shù)語“管理過程”代替了原來的“控制措施”。ITIL信息技術(shù)基礎(chǔ)設(shè)施庫（ITIL）第3版包括五本書，涵蓋了服務(wù)管理的整個生命周期。ISO/IEC27000ISO/IEC27000系列標準提供了整個信息安全管理體系環(huán)境下的信息安全管理、風險和控制的最佳實踐推薦。ISF信息安全論壇（ISF）-最佳實踐標準給出了實踐指南和解決方案來處理目前影響業(yè)務(wù)信息的大范圍安全挑戰(zhàn)。安全框架COSO14安全管理（SecurityManagement）信息安全的成敗取決于兩個因素：技術(shù)和管理。技術(shù)是信息安全的構(gòu)筑材料，管理是真正的粘合劑和催化劑。人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性。信息安全管理（InformationSecurityManagement）作為組織完整的管理體系中一個重要的環(huán)節(jié)，其主要活動包括：識別信息資產(chǎn)及相關(guān)風險，采取恰當?shù)牟呗院涂刂拼胧┮韵麥p風險，監(jiān)督控制措施有效性，提升人員安全意識等。安全管理（SecurityManagement）信息安全的15

根據(jù)風險評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運作自身需要來確定控制目標與控制措施。

實施所選的安全控制措施。提升人員安全意識。

針對檢查結(jié)果采取應(yīng)對措施，改進安全狀況。

依據(jù)策略、程序、標準和法律法規(guī)，對安全措施的實施情況進行符合性檢查。信息安全管理模型根據(jù)風險評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運作自16風險管理（RiskManagement）在信息安全領(lǐng)域，風險（Risk）就是指信息資產(chǎn)遭受到損壞并給企業(yè)帶來負面影響的潛在可能性。風險管理（RiskManagement）就是識別風險、評估風險、采取措施將風險減少到可接受水平，并維持這個風險水平的過程。風險管理是信息安全管理的核心內(nèi)容。風險管理（RiskManagement）在信息安全領(lǐng)域，風17風險管理相關(guān)要素資產(chǎn)（Asset）——對組織具有價值的信息資產(chǎn)，包括計算機硬件、通信設(shè)施、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護。威脅（Threat）——可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，需要識別出威脅源（Threstsource）或威脅代理（Threstagent）。弱點（Vulnerability）——也被稱作漏洞或脆弱性，及資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。風險（Risk）——特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性?？赡苄裕↙ikelihood）——對威脅發(fā)生幾率（Probability）或頻率（Freqiency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。安全措施（Safeguard）——控制（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風險的機制、方法和措施。殘留風險（ResidlRisk）——在實施安全措施之后仍然存在的風險。風險管理相關(guān)要素資產(chǎn)（Asset）——對組織具有價值的信息資18匹配以下的術(shù)語和定義暴露可能性威脅防護措施對策資產(chǎn)攻擊/利用總風險脆弱性威脅來源/威脅源控制對組織實現(xiàn)方向和目標有價值的東西。有可能對IT系統(tǒng)產(chǎn)生損害的任何環(huán)境或事件。信息或信息系統(tǒng)的潛在危險。某個威脅導(dǎo)致?lián)p失的負面事件的影響，或某次攻擊所導(dǎo)致?lián)p失的數(shù)量。在系統(tǒng)安全程序、設(shè)計、實施或內(nèi)部控制方面的缺陷或弱項，可能被執(zhí)行（無意的或有意的）導(dǎo)致安全違規(guī)或違反系統(tǒng)的安全策略。潛在脆弱性在相關(guān)威脅環(huán)境中利用的概率或幾率。企圖導(dǎo)致?lián)p害的活動。威脅源利用信息系統(tǒng)的脆弱性實現(xiàn)猥褻的行為。保護系統(tǒng)的行政的、技術(shù)的或物理的措施和活動。包括對策和防護措施。事后應(yīng)用的控制措施，被動性的。事前應(yīng)用的控制措施，主動性的。包括威脅、脆弱性和資產(chǎn)價值的所有因素。匹配以下的術(shù)語和定義暴露對組織實現(xiàn)方向和目標有價值的東西。19風險管理各要素相互關(guān)系Safeguards安全措施Securityrequirement安全需求Protectagainst防范Metby采取Indicate提出Reduce減少threats威脅vulnerabilities脆弱性Exploit利用Increase導(dǎo)致Increase導(dǎo)致Expose暴露Increase增加Have具有Risk風險Assets資產(chǎn)Assetsvalue資產(chǎn)價值風險管理各要素相互關(guān)系SafeguardsSecurity20風險管理的目標風險RISKRISKRISKRISK風險基本的風險采取措施后剩余的風險資產(chǎn)威脅弱點資產(chǎn)威脅弱點風險管理的目標風險RISKRISKRISKRISK風險基本的21風險管理過程的邏輯方式Risk風險Threat威脅Vulnerability脆弱性AssetValue資產(chǎn)價值=××ResidualRisk殘余風險Threat威脅Vulnerability脆弱性AssetValue資產(chǎn)價值=××（）×ControlGap控制差距風險管理過程的邏輯方式RiskThreatVulnerabi22風險評估和分析

RiskAssessmentandAnalysis風險評估（RiskAssessment）是對信息資產(chǎn)及其價值、面臨的威脅、存在的弱點，以及三者綜合作用而帶來風險的大小或水平的評估。作為風險管理的基礎(chǔ)，風險評估是組織確定信息安全需求的一個重要途徑，屬于組織信息安全管理體系策劃的過程。主要任務(wù)包括：識別機構(gòu)風險的各種因素評估風險發(fā)生的可能性和造成的影響，并最終評價風險水平或大小確定組織承受風險的能力確定風險消減和控制的策略、目標和優(yōu)先順序推薦風險消減對策以供實施包括風險分析（RiskAnalysis）和風險評價（RiskEvaluation）兩部分，但一般來說，風險評估和風險分析同義。風險評估和分析

RiskAssessmentandAn23風險評估一般過程風險評估一般過程24定量評估和定性評估定量風險評估：試圖從數(shù)字上對安全風險及其構(gòu)成因素進行分析評估的一種方法。定性風險評估：憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風險管理諸要素的大小或高低程度定性分級。定性風險分析優(yōu)點計算方式簡單，易于理解和執(zhí)行不必精確算出資產(chǎn)價值和威脅頻率不必精確計算推薦的安全措施的成本流程和報告形式比較有彈性缺點本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評估者的經(jīng)驗和能力，較難客觀地跟蹤風險管理的效果對關(guān)鍵資產(chǎn)財務(wù)價值評估參考性較低并不能為安全措施的成本效益分析提供客觀依據(jù)定量風險分析優(yōu)點評估結(jié)果是建立在獨立客觀的程序或量化指標之上的可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策量化的資產(chǎn)價值和預(yù)期損失易理解可利用自動化工具幫助分析缺點輸入數(shù)據(jù)的可靠性和精確性難以保證沒有一種標準化的知識庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商信息計算量大，方法復(fù)雜，費時費力定量評估和定性評估定量風險評估：試圖從數(shù)字上對安全風險及其構(gòu)25定量風險評估概述對構(gòu)成風險的各個要素和潛在損失水平賦予數(shù)值或貨幣金額。當度量風險的所有要素（資產(chǎn)價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被賦值，，風險評估的整個過程和結(jié)果就都可以被量化。定量分析有兩個關(guān)鍵指標：事件發(fā)生的頻率（用ARO來表示）和威脅事件可能引起的損失（用EF來表示）。理論上講，通過定量分析可以對安全風險進行準確分級，但這有個前提，那就是可供參考的數(shù)據(jù)指標是準確的。定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的，再加上數(shù)據(jù)統(tǒng)計缺乏長期性，計算過程又極易出錯，這就給分析的細化帶來了很大困難。實際風險分析時，采用定量分析或者純定量分析方法比較少定量風險評估概述對構(gòu)成風險的各個要素和潛在損失水平賦予數(shù)值或26定量分析基本概念暴露因子（ExposureFactor，EF）——特定威脅對特定資產(chǎn)造成損失的百分比，或者說損失的程度。單一損失期望（SingleLossExpectancy，SLE）——或者稱作SOC（SingleOccuranceCosts），即特定威脅單次發(fā)生可能造成的潛在損失量。年度發(fā)生率（AnnualizedRateofOccurrence，ARO）——即威脅在一年內(nèi)估計會發(fā)生的次數(shù)。年度損失期望（AnnualizedLossExpectancy，ALE）——或者稱作EAC（EstimatedAnnualCost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。定量分析基本概念暴露因子（ExposureFactor，E27定量分析基本過程識別資產(chǎn)并為資產(chǎn)賦值；評估威脅和弱點，評價特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值在0%~100%之間）；計算特定威脅發(fā)生的次數(shù)（頻率），即ARO；計算資產(chǎn)的SLE；計算資產(chǎn)的ALE。資產(chǎn)價值（AV）×暴露因子（EF）=單一損失期望（SLE）單一損失期望（SLE）×年發(fā)生比率（ARO）=ALE（年度損失期望）定量分析基本過程識別資產(chǎn)并為資產(chǎn)賦值；資產(chǎn)價值（AV）×暴露28定量分析舉例假定某公司投資500,000美元建了一個網(wǎng)絡(luò)運營中心，其最大的威脅是火災(zāi)，一旦火災(zāi)發(fā)生，網(wǎng)絡(luò)運營中心的估計損失程度是45%。根據(jù)消防部門推斷，該網(wǎng)絡(luò)運營中心所在的地區(qū)每5年會發(fā)生一次火災(zāi)，于是我們得出了ARO為0.20的結(jié)果?；谝陨蠑?shù)據(jù)，該公司網(wǎng)絡(luò)運營中心的ALE將是45,000美元。AssetThreatAssetValueEFSLEAROALE網(wǎng)絡(luò)運營中心火災(zāi)$500,0000.45225,0000.20$45,000Web服務(wù)器電源故障$25,0000.25$6,2500.50$3,125Web數(shù)據(jù)病毒%150,0000.33$50,0002.00$1000,000客戶數(shù)據(jù)泄漏$250,0000.75$187,5000.66$123,750定量分析舉例假定某公司投資500,000美元建了一個網(wǎng)絡(luò)運營29定性風險評估概述定性分析方法目前采用最為廣泛，它帶有很強的主觀性，往往需要憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風險管理諸要素的大小或高低程度定性分級，例如“高”、“中”、“低”三級。定性分析的操作方法可以多種多樣，包括小組討論（例如Delphi方法）、檢查列表（Checklist）、問卷（Questionnaire）、人員訪談（Interview）、調(diào)查（Survey）等。定性分析操作起來相對容易，但也可能因為操作者經(jīng)驗和直覺的偏差而使分析結(jié)果失準。與定量分析相比較，定性分析的準確性稍好但精確性不夠，定量分析則相反‘定性分析沒有定量分析那樣繁多的計算負擔，但卻要求分析者具備一定的經(jīng)驗和能力。定性風險評估概述定性分析方法目前采用最為廣泛，它帶有很強的主30識別信息資產(chǎn)對資產(chǎn)進行保護是信息安全的直接目標。劃入風險評估范圍和邊界的每項資產(chǎn)都應(yīng)該被識別和評價。應(yīng)該清楚識別每項資產(chǎn)的擁有者、保管者和使用者。組織應(yīng)該建立資產(chǎn)清單，根據(jù)業(yè)務(wù)流程來識別信息資產(chǎn)。信息資產(chǎn)的存在形式多種，物理的、邏輯的、無形的。

電子數(shù)據(jù)：數(shù)據(jù)庫和數(shù)據(jù)文件，系統(tǒng)文件，用戶手冊，培訓(xùn)資料，計劃等。

書面文件：合同，策略方針，歸檔文件，重要商業(yè)結(jié)果。

軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，工具程序。

實物資產(chǎn)：計算機和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，基礎(chǔ)設(shè)施。

人員：承擔特定職能和責任的人員或角色。

服務(wù)：計算和通信服務(wù)，外包服務(wù)，其他技術(shù)性服務(wù)。

組織形象與聲譽：無形資產(chǎn)。識別信息資產(chǎn)對資產(chǎn)進行保護是信息安全的直接目標。31評價信息資產(chǎn)資產(chǎn)評價時應(yīng)該考慮：信息資產(chǎn)因為受損而對業(yè)務(wù)造成的直接損失信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價，包括檢測、控制、修復(fù)時的人力和物力組織公眾形象和名譽上的損失，因業(yè)務(wù)受損導(dǎo)致競爭優(yōu)勢降級而引發(fā)的間接損失其他損失，例如保險費用的增加定性分析時，我們關(guān)心的是資產(chǎn)對組織的重要性或其敏感程度，即由于資產(chǎn)受損而引發(fā)的潛在的業(yè)務(wù)影響或成果?？梢愿鶕?jù)資產(chǎn)的重要性（影響或后果）來為資產(chǎn)劃分等級，例如：災(zāi)難性、較大、中等、較小、可忽略應(yīng)該同時考慮保密性、完整性和可用性三方面受損可能引發(fā)的后果。評價信息資產(chǎn)資產(chǎn)評價時應(yīng)該考慮：32識別并評估威脅識別每項（類）資產(chǎn)可能面臨的威脅。一項資產(chǎn)可能面臨多個威脅，一個威脅也可能對不同資產(chǎn)造成影響。識別威脅的關(guān)鍵在于確認引發(fā)威脅的人或物，即威脅源（威脅代理，ThreatAgent）。威脅通常包括（來源）：

人員威脅：故意破壞和無意失誤系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障

環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等

自然威脅：洪水、地震、臺風、雷電等評估威脅可能性時要考慮到威脅源的動機和能力因素（內(nèi)因）。威脅發(fā)生的可能性可以用“高”、“中”、“低”三級來衡量。識別并評估威脅識別每項（類）資產(chǎn)可能面臨的威脅。一項資產(chǎn)可能33識別并評估弱點針對每一項需要保護的資產(chǎn)，找到到可被威脅利用的弱點，包括：技術(shù)性弱點：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷操作性弱點：配置、操作和使用中的缺陷，包括人的不良習慣、操作過程的漏洞管理性弱點：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足弱點的識別途徑：審計報告、事件報告、安全檢查報告、系統(tǒng)測試和評估報告專業(yè)機構(gòu)發(fā)布的漏洞信息自動化的漏洞掃描工具和滲透測試評估弱點時需要考慮其暴露程度或被利用的容易度。例如可以用“高”、“中”、“低”三級來衡量。識別并評估弱點針對每一項需要保護的資產(chǎn)，找到到可被威脅利用的34資產(chǎn)、威脅及弱點關(guān)系弱點威脅影響的資產(chǎn)沒有邏輯訪問控制蓄意破壞軟件軟件，信譽竊取軟件數(shù)據(jù)完整性，信譽沒有應(yīng)急計劃火災(zāi)、颶風、地震、水災(zāi)、恐怖攻擊設(shè)施、硬件、存儲介質(zhì)、數(shù)據(jù)可用性、軟件、信譽竊取軟件數(shù)據(jù)完整性，信譽資產(chǎn)、威脅及弱點關(guān)系弱點威脅影響的資產(chǎn)沒有邏輯訪問控制蓄意破35風險評價之前需要確定兩個指標風險影響：

可以通過資產(chǎn)的價值評估來確定

分級方式根據(jù)需要來定，例如：

（1，2，3，4，5），即：

（可忽略，較小，中等，較大，災(zāi)難性）風險可能性：

可以通過威脅可能性、弱點暴露度的評價來綜合得出

需要考慮到現(xiàn)有控制措施的效力（控制措施會影響對威脅及弱點的判斷）

分級方式根據(jù)需要來定（取決于威脅和弱點的評價標準），例如：

（1，2，3，4，5），即：

（幾乎肯定，很可能，有可能，不太可能，很罕見）風險評價之前需要確定兩個指標風險影響：36對現(xiàn)有控制措施的考慮從針對性和實施方式來看，控制措施包括三類：管理性（Administrative）：對系統(tǒng)開發(fā)、維護和使用實施管理的措施，包括安全策略、程序管理、風險管理、安全保障、系統(tǒng)生命周期管理等。操作性（Operational）：用來保護系統(tǒng)和應(yīng)用操作的流程和機制，包括人員職責、應(yīng)急響應(yīng)、事件處理、意識培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等。技術(shù)性（Technical）：身份識別與認證、邏輯訪問控制、日志審計、加密等。從功能來看，控制措施類型包括：威懾性（Deterrent）預(yù)防性（Preventive）檢測性（Detective）糾正性（Corrective）對現(xiàn)有控制措施的考慮從針對性和實施方式來看，控制措施包括三類37風險評估矩陣可能性影響可忽略1較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）等級取值范圍名稱描述H25,20High，高風險最高等級的風險，需要立即采取應(yīng)對措施。不可接受。S12,15,16Significant，嚴重風險需要高級管理層注意。不可接受M6,8,9,10Moderate，中等風險必須規(guī)定管理責任。通常需要綜合考慮取舍。L1,2,3,4,5Low，低風險可以通過例行程序來處理?？山邮?。風險評估矩陣可能性影響可忽略較小中等較大災(zāi)難性5，幾乎肯38定性風險評估舉例風險場景：一個個人經(jīng)濟上存在問題的公司職員有權(quán)獨立訪問高敏感度的信息，他可能竊取這些信息賣給公司的競爭對手。確定風險因子：影響為3（中等）可能性為4（很可能）評估風險：套用風險分析矩陣，該風險被定為S級（嚴重風險）應(yīng)對風險：根據(jù)公司確定的風險接受水平，應(yīng)該對該風險采取措施予以消減?？赡苄杂绊懣珊雎?較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）12（S）定性風險評估舉例風險場景：可能性影響可忽略較小中等較大災(zāi)39確定風險消減策略RiskMitigation降低風險（ReduceRisk）——實施有效控制，將風險降低到可接受的程度，實際上就是力圖減小威脅發(fā)生的可能性和帶來的影響，包括：減少威脅：例如，實施惡意軟件控制程序，減少信息系統(tǒng)惡意軟件攻擊的機會減少弱點：例如，通過安全意識培訓(xùn)，強化職員的安全意識與安全操作能力降低影響：例如，制定災(zāi)難恢復(fù)計劃和業(yè)務(wù)連續(xù)性計劃，做好備份規(guī)避風險（AvoidRisk）——或者RejectingRisk。有時候，組織可以選擇放棄某些可能引來風險業(yè)務(wù)或資產(chǎn)，以此來規(guī)避風險。例如，將重要的計算機系統(tǒng)與互聯(lián)網(wǎng)隔離，使其免遭來自外部網(wǎng)絡(luò)的攻擊。轉(zhuǎn)嫁風險（TransferRisk）——也稱作RiSkAssignment。將風險全部或者部分地轉(zhuǎn)移到其他責任方，例如購買商業(yè)保險。接受風險（AcceptRisk）——在實施了其他風險應(yīng)對措施之后，對于殘留的風險，組織可以選擇接受。確定風險消減策略RiskMitigation降低風險（Re40選擇控制措施以降低風險選擇安全措施時首先關(guān)注的是其基本功能，其次還有效力。選擇安全措施（對策）時需要進行成本效益分析：基本原則：實施安全措施的代價不應(yīng)該大于所要保護資產(chǎn)的價值對策成本：購買費用，對業(yè)務(wù)效率的影響，額外人力物力，培訓(xùn)費用，維護費用等控制價值=實施控制之前的ALE-控制的年成本-實施控制之后的ALE除了成本效益，還應(yīng)該考慮到以下約束條件：時間約束，技術(shù)約束，環(huán)境約束法律約束，社會約束確定所選安全措施的效力，是看實施新措施之后還有什么殘留風險選擇控制措施以降低風險選擇安全措施時首先關(guān)注的是其基本功能，41評價殘留風險絕對安全（即零風險）是不可能的。實施安全控制后有殘留風險或殘存風險（ResidualRisk）。為了實現(xiàn)信息安全，應(yīng)該確保殘留風險在可接受的范圍內(nèi)：殘留風險Rr=原有風險R0-控制效力ΔR殘留風險Rr≤可接受的風險Rt對殘留風險進行確認和評價的過程其實就是風險接受的成果。決策者可以根據(jù)風險評估的結(jié)果來確定一個閥值，以該閥值作為是否接受殘留風險的標準。評價殘留風險絕對安全（即零風險）是不可能的。42殘留風險計算舉例風險場景：一個個人經(jīng)濟上那個存在問題的公司職員有權(quán)獨立訪問某類高敏感度的信息，他可能竊取這些信息賣給公司的競爭對手。實施控制之前：影響為3（中等），可能性為4（很可能），風險為12（S級）。實施控制之后：影響為3不變，可能性降為1，殘留風險為3（L級）。應(yīng)對殘留風險：殘留風險在可接受范圍內(nèi)，說明控制措施的應(yīng)用是成功的?？赡苄杂绊懣珊雎?較小2中等3較大4災(zāi)難性55，幾乎肯定5（L）10（M）15（S）20（H）25（H）4，很可能4（L）8（M）12（S）16（S）20（H）3，有可能3（L）6（M）9（M）12（S）15（S）2，不太可能2（L）4（L）6（M）8（M）10（M）1，很罕見1（L）2（L）3（L）4（L）5（L）3（L）殘留風險計算舉例風險場景：可能性影響可忽略較小中等較大災(zāi)43策略、標準、基線、指南和流程

Policies,Standards,Baselines,Guidelines,andProcedures方針Policy程序Procedure標準Standard強制性指南Guideline建議性基線Baseline最低標準目標要求具體步驟實現(xiàn)方法戰(zhàn)略層次戰(zhàn)術(shù)層次策略、標準、基線、指南和流程

Policies,Stand44策略、標準、基線、指南和流程

Policies,Standards,Baselines,Guidelines,andProcedures方針——處于策略鏈的最高層次，它是由組織的高級管理層發(fā)布的、關(guān)于信息安全最一般性的聲明。方針應(yīng)該代表著高級管理層對信息安全承擔責任的一種承諾。一旦發(fā)布，要求組織成員必須遵守。方針的實施要依靠標準、指南和程序。標準——標準規(guī)定了在組織范圍內(nèi)強制執(zhí)行的對特定技術(shù)和方法的使用。標準起著驅(qū)動方針的作用，標準可以用來建立方針執(zhí)行的強制機制。指南——類似于標準，也是關(guān)于加強系統(tǒng)安全的方法，但它是建議性的。指南比標準更靈活，考慮到了不同信息系統(tǒng)的特點。指南也可用來規(guī)定標準的的開發(fā)方式，或者保證對一般性安全原則的遵守。彩虹系列、CC、BS7799等，都可以看作是此類?；€——基線建立的是滿足方針要求的最低級別的安全需要。在建立信息安全整體框架之前，基線是需要考慮的最低標準。標準的開發(fā)通常都是以基線為基礎(chǔ)的，基線可以看作是抽象的簡單化的標準。大多數(shù)基線都是很具體的，或者與系統(tǒng)相關(guān)，或者是陳述某種配置。程序——是執(zhí)行特定任務(wù)的詳細步驟。位于策略鏈的最低層次，是實現(xiàn)方針、標準和指南的詳細步驟策略、標準、基線、指南和流程

Policies,Stand45策略的種類規(guī)章性策略用于確保組織機構(gòu)遵守特定的行業(yè)規(guī)章建立的標準建議性策略強烈推薦雇員在組織機構(gòu)中應(yīng)該采取的某些行為和活動指示性策略告知雇員相關(guān)信息策略的種類規(guī)章性策略46信息分級（InformationClassification）并不是所有的數(shù)據(jù)都有相同的價值，不同數(shù)據(jù)的敏感程度也不同，組織需要判斷應(yīng)該投入多少資金和資源去保護不同的數(shù)據(jù)為此，通過數(shù)據(jù)分類，識別最敏感最關(guān)鍵的數(shù)據(jù)，從而對應(yīng)選擇保護措施，確保對cel各類數(shù)據(jù)的保護達到合適的水平數(shù)據(jù)分類能夠宣示組織在信息安全保護方面所做的承諾通過數(shù)據(jù)分類和實施恰當?shù)谋Ｗo，可以保證信息資產(chǎn)的CIA政府機構(gòu)沿用數(shù)據(jù)分類已經(jīng)很久，但主要強調(diào)保密性，側(cè)重于防泄密數(shù)據(jù)分類也是符合隱私或數(shù)據(jù)保護相關(guān)法律的必要活動識別信息對篡改的敏感度：以便將注意力集中在完整性控制上識別需要保護的機密性信息的敏感度：理解信息的價值滿足法律要求信息分級（InformationClassificatio47信息分級

根據(jù)信息的用途、價值、敏感程度等屬性的不同，將信息分為不同的級別和類別，制定針對不同級別和類別的信息安全保護辦法，這樣在工作中只要正確標定和執(zhí)行相關(guān)的保護措施，就可以比較方便、有效地保障信息的安全傳統(tǒng)上，政府和軍方比較關(guān)注信息的保密性，通常把信息分為絕密（TopSecret）、機密（Secret）、保密（Confidential）、敏感非保密（SensitiveButUnclassified）、非保密（Unclassified）民間機構(gòu)對隱私保護、完整性、可用性要求比較突出，可以把信息分為保密（Confidential）、私密（Private）、敏感（Sensitive）、公開（Public）信息資產(chǎn)應(yīng)由其擁有者（Owner）負責確定其保護級別，由保管者（Custodian）和使用者（User）應(yīng)遵循與級別相關(guān)的保護要求和措施信息分級根據(jù)信息的用途、價值、敏感程度等屬性的不同，將信息48政府機構(gòu)數(shù)據(jù)分類方案示例類別描述絕密（TopSecret）絕密信息的泄漏會對國家安全造成極大的破壞。在美國，此等級對應(yīng)的只有總統(tǒng)。秘密（Secret）泄漏秘密的數(shù)據(jù)會給國家安全造成嚴重損害，只是這些信息的敏感程度不如絕密數(shù)據(jù)那么大。機密（Confidential）通常指那些受法律保護不得泄漏的數(shù)據(jù)，例如美國的信息自由法，但此類數(shù)據(jù)并不屬國家安全數(shù)據(jù)。敏感但非常（SensitiveButUnclassified，SBU）SBU數(shù)據(jù)對國家安全并不重要，但泄漏這些數(shù)據(jù)可能會帶來某些危害。許多機構(gòu)將其得到的公民數(shù)據(jù)歸類為SBU，例如保健信息。非密（Unclassified）沒有進行分類或并不敏感的數(shù)據(jù)。此類數(shù)據(jù)的公開發(fā)布并不影響保密性。政府機構(gòu)數(shù)據(jù)分類方案示例類別描述絕密（TopSecret49商業(yè)機構(gòu)數(shù)據(jù)分類方案示例類別描述機密（Confidential）非常敏感，只應(yīng)內(nèi)部使用。未授權(quán)泄漏將對公司造成嚴重的、負面的影響。例如，有關(guān)新產(chǎn)品開發(fā)的信息，商業(yè)秘密，合并談判等。私秘（Private）與個人相關(guān)的信息，只應(yīng)被公司使用。其泄漏可能對公司或其職員造成消極影響。例如，薪資和醫(yī)療信息。敏感（Sensitive）此類信息要求比正常數(shù)據(jù)具有更高的分類等級。要求具有高度的完整性和保密性。公共（Public）類似未分類信息。所有并不適合上述類別的公司信息都歸為此類。公共數(shù)據(jù)是最不敏感的數(shù)據(jù)，如果泄漏，不會對公司造成嚴重或者消極影響。商業(yè)機構(gòu)數(shù)據(jù)分類方案示例類別描述機密（Confidentia50三級數(shù)據(jù)分類方案示例類別描述（強調(diào)保密性）機密（Confidential）最敏感的，應(yīng)遵循need-to-know原則內(nèi)部使用（Internaluseonly）在內(nèi)部傳播是安全的，但不能對外泄漏公共（Public）公開泄漏也沒關(guān)系類別描述（強調(diào)完整性和可用性）高（High）如果信息遭受破壞，可能帶來人身傷亡、嚴重的經(jīng)濟損失或刑罰中（Medium）如果信息遭受破壞，會帶來顯著地經(jīng)濟損失低（Low）如果信息遭受破壞，只會造成輕微的損失，需要最少的管理措施來予以糾正三級數(shù)據(jù)分類方案示例類別描述（強調(diào)保密性）機密（Confid51數(shù)據(jù)分類標準價值（Value）：價值是最通常的數(shù)據(jù)分類標準，如果信息對一個組織或者其競爭對手有價值，就需要分類壽命（Age）：隨著時間的推移，信息價值會降低，其分類也會降低。例如，政府部門，某些分類檔案會在預(yù)定的時間期限過后自動解除分類使用期（UsefulLife）：如果由于新信息的替代、公司發(fā)生的真實變化或者其他原因，信息過時了，可以對其解除分類人員關(guān)聯(lián)（PersonalAssociation）：如果信息與特定個人相關(guān)，或者是法律（比如隱私法）、規(guī)章和責任要求中指出的，需要分類。例如，如果調(diào)查信息揭示了調(diào)查者的名字，就需要保留分類數(shù)據(jù)分類標準價值（Value）：價值是最通常的數(shù)據(jù)分類標準，52數(shù)據(jù)分類相關(guān)角色和責任屬主（Owner）：信息屬主可能是組織的某個決策者或者管理者，或者部門負責人，或者是信息的創(chuàng)建者，對必須保護的信息資產(chǎn)負責，承擔著“duecare”的責任，但日常的數(shù)據(jù)保護工作則由保管者承擔。信息屬主的責任在于：基于業(yè)務(wù)需求，對信息分類等級作出最初決定；定期復(fù)查分類方案，根據(jù)業(yè)務(wù)需求的變化作出更改；向保管者委派承擔數(shù)據(jù)保護任務(wù)的責任保管者（Custodian）:受信息屬主委托而負責保護信息，通常由IT系統(tǒng)人員來承擔，其職責包括：定期備份，測試備份數(shù)據(jù)的有效性；必要時對數(shù)據(jù)進行恢復(fù)；根據(jù)既定的信息分類策略，維護保留下來的記錄用戶（User）：任何在日常工作中使用信息的人（操作員、雇員或外部伙伴），即數(shù)據(jù)的消費者，應(yīng)該注意：用戶必須遵守安全策略中定義的操作程序；用戶必須在工作期間承擔保護信息安全的責任；用戶必須只將公司的計算資源用作公司目的，不能做個人使用數(shù)據(jù)分類相關(guān)角色和責任屬主（Owner）：53分級控制數(shù)據(jù)分級措施定義分級級別指定確定如何分類數(shù)據(jù)的準則由數(shù)據(jù)所有者指明負責的數(shù)據(jù)的分類任命負責維護數(shù)據(jù)及其安全級別的數(shù)據(jù)管理員制定每種分類級別所需的安全控制或保護機制記錄上述分類問題的例外情況說明可用于將信息保管轉(zhuǎn)交給其他數(shù)據(jù)所有者的方法建立一個定期審查信息分類和所有權(quán)的措施。向數(shù)據(jù)管理員通報任何變更指明信息解密措施將這些安全問題綜合為安全意識計劃，讓所有員工都了解如何處理不同分類級別的數(shù)據(jù)分級控制數(shù)據(jù)分級措施54分類數(shù)據(jù)對外分發(fā)分類信息往往需要對外分發(fā)，隨即帶來的隱患應(yīng)該引起注意。以下是一些需要對外分類信息進行分發(fā)的例子：法律程序：為了遵守某些法律程序，分類信息可能需要泄漏出來政府合同：政府訂約人可能需要根據(jù)與政府項目相關(guān)的采購協(xié)議而泄漏分類信息高層批準：高級決策層可能授權(quán)向外部實體或組織發(fā)布分類信息，此類發(fā)布可能要求外部伙伴簽署保密協(xié)議分類數(shù)據(jù)對外分發(fā)分類信息往往需要對外分發(fā)，隨即帶來的隱患應(yīng)該55責任分層（LayersofResponsibility）董事會（BoardofDirectors）董事會由企業(yè)股東選出的一組人員組成，負責監(jiān)督企業(yè)憲章的執(zhí)行情況。成立董事會的是為了確保股東的利益得到保護，并且企業(yè)能夠平穩(wěn)運行。董事會成員應(yīng)該是沒有偏見的獨立個人，他們負責監(jiān)督行政人員在管理公司方面的表現(xiàn)。執(zhí)行管理層（ExecutiveManagement）執(zhí)行管理層由頭銜以字母C開頭的個人組成CEO通常由董事會主席擔任，是公司內(nèi)地位最高的人。擔任這個角色的人負責從宏觀絕度監(jiān)督公司的財務(wù)、戰(zhàn)略規(guī)劃和運營。CFO（chieffinancialofficer，首席財務(wù)官）負責公司的賬目和財務(wù)活動以及組織機構(gòu)的總體財務(wù)結(jié)構(gòu)。他負責決定組織機構(gòu)的財務(wù)需求，以及如何為這些需求提供資金。責任分層（LayersofResponsibility）56執(zhí)行管理層CIO（ChiefInformationOfficer，首席信息官）處于公司組織結(jié)構(gòu)的較低層。根據(jù)企業(yè)結(jié)構(gòu)，他們負責向CEO或CFO上報，并且負責組織機構(gòu)內(nèi)部信息系統(tǒng)和技術(shù)的戰(zhàn)略使用與管理。越來越多的組織機構(gòu)要求CIO進入高級管理層。CIO的職責已經(jīng)擴展到在業(yè)務(wù)流程管理、收入來源以及如何利用公司的內(nèi)在技術(shù)實現(xiàn)業(yè)務(wù)戰(zhàn)略方面與CEO（和其他管理層）進行合作CPO（ChiefPrivacyOfficer，首席隱私官）是一個較新的職位，設(shè)立該職位主要是因為公司在保護各種類型數(shù)據(jù)方面面臨日益增長的需求。這個角色負責確?？蛻?、公司和雇員數(shù)據(jù)的安全，避免公司陷入刑事和民事訴訟，并防止公司由于數(shù)據(jù)泄露而登上新聞頭條。這個職位通常由律師擔任，并直接參與有關(guān)數(shù)據(jù)的收集、保護盒將數(shù)據(jù)交付給第三方的策略制訂。執(zhí)行管理層CIO（ChiefInformationOff57執(zhí)行管理層CSO（ChiefSecurityOfficer，首席安全官）了解公司面臨的風險和將這些風險緩解至可接受的級別。這個角色要了解組織機構(gòu)的業(yè)務(wù)推動了，并為促進這些推動力而制訂和維護一個安全計劃，同時還負責提供安全、確保遵守大量法律法規(guī)以及滿足客戶需求或合約義務(wù)。執(zhí)行管理層CSO（ChiefSecurityOffice58安全指導(dǎo)委員會

（SecuritySteeringCommittee）審計委員會（AuditCommittee）公司財務(wù)報表以及向股東和其他人提供的財務(wù)信息的完整性公司的內(nèi)部控制系統(tǒng)獨立審計員的雇傭和表現(xiàn)內(nèi)部審計功能實現(xiàn)遵守與道德有關(guān)的法律要求和公司策略數(shù)據(jù)屬主（Dataowners）確定數(shù)據(jù)的分類等級，確定訪問特權(quán)，維護信息系統(tǒng)中數(shù)據(jù)的正確性和完整性數(shù)據(jù)保管（DataCustodian）負責保管系統(tǒng)/數(shù)據(jù)庫，通常就是網(wǎng)絡(luò)和系統(tǒng)管理人員系統(tǒng)所有者（SystemOwner）包括網(wǎng)絡(luò)、主機、數(shù)據(jù)庫、應(yīng)用等的系統(tǒng)管理員根據(jù)安全管理的要求對自己所負責的系統(tǒng)進行日常安全保障安全指導(dǎo)委員會

（SecuritySteeringCom59安全指導(dǎo)委員會

（SecuritySteeringCommittee）安全管理員（SecurityAdministrator）負責實施、監(jiān)視并執(zhí)行安全規(guī)定和策略各部門可以設(shè)立自己的安全管理員，負責執(zhí)行本部門安全管理事務(wù)向安全委員會/信息安全主管報告安全分析員（SecurityAnalyst）幫助制訂策略、標準和指南，并設(shè)立各種基準應(yīng)用程序所有者（ApplicationOwner）業(yè)務(wù)部門經(jīng)理，負責規(guī)定哪些人有權(quán)訪問他們的應(yīng)用程序監(jiān)督員（Supervisor）也稱為用戶經(jīng)歷，主要負責所有用戶活動以及由這些用戶建立并擁有的資產(chǎn)安全指導(dǎo)委員會

（SecuritySteeringCom60安全指導(dǎo)委員會（SecuritySteeringCommittee）變更控制分析員（ChangeControlAnalyst）負責批準或否決變更網(wǎng)絡(luò)、系統(tǒng)或軟件的請求數(shù)據(jù)分析員（DataAnalyst）保證以最佳方式存儲數(shù)據(jù)，從而為需要訪問和應(yīng)用數(shù)據(jù)的公司與個人提供最大的便利流程所有者（ProcessOwner）負責正確定義、改進并監(jiān)控這些過程方案解決商（SolutionProvider）用戶（User）具備應(yīng)有的安全意識遵守安全策略，恰當使用信息和系統(tǒng)，通報安全事件安全指導(dǎo)委員會（SecuritySteeringComm61安全指導(dǎo)委員會

（SecuritySteeringCommittee）生產(chǎn)線經(jīng)理（ProductLineManager）審計員（Auditor）向安全目標管理提供獨立保障檢查系統(tǒng)，判斷系統(tǒng)是否滿足安全需求，以及安全控制是否有效安全指導(dǎo)委員會

（SecuritySteeringCom62安全指導(dǎo)委員會

（SecuritySteeringCommittee）人員安全職責分離（Separationofduties）不應(yīng)有人從頭到尾地完全控制一項牽涉到敏感的、有價值的、或者關(guān)鍵信息的任務(wù)。例如金融交易中，一個人負責數(shù)據(jù)錄入，另一個人負責檢查，第三人確認最終交易。雙重控制：開發(fā)/生產(chǎn)；安全管理/審計；加密密鑰管理/密鑰更改。知識分割：加密密鑰分成兩個組件，任何一個都不會泄漏另一個。工作輪換（Jobrotation）不允許某人過長時間地擔任某個固定的職位，其目的是避免個人獲得過多的控制。設(shè)置人員備份，有利于交叉培訓(xùn)，有利于發(fā)現(xiàn)欺詐行為。強制度假（Mandatoryvacation）要求擔任敏感職位的人員度假。讓某些職員離開崗位一段時間，其他人就能介入并檢查其疏漏安全指導(dǎo)委員會

（SecuritySteeringCom63安全指導(dǎo)委員會

（SecuritySteeringCommittee）人員離職（Termination）人員離職往往存在安全風險，特別是雇員主動辭職時解雇通知應(yīng)選擇恰當?shù)臅r機，例如重要項目結(jié)束，或新項目啟動前使用標準的檢查列表（Checklist）來實施離職訪談離職者需在陪同下清理個人物品確保離職者返還所有的公司證章、ID、鑰匙等物品與此同時，立即消除離職者的訪問權(quán)限，包括：解除對系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的訪問權(quán)解除電話，注銷電子郵箱，鎖定Internet賬號

通知外部伙伴或客戶，聲明此人已離職安全指導(dǎo)委員會

（SecuritySteeringCom64背景檢查（BackgroundCheck）背景檢查是工作申請過程的一個部分，組織至少會審查申請人簡歷中的基本信息。可以通過ReferenceCheck來了解其真實履歷。對于敏感職位，可能還會考慮進一步的調(diào)查。調(diào)查過程中，組織可以請求訪問申請人的信用和犯罪記錄，甚至可以聘請外部公司對申請人進行調(diào)查，以確定是否存在潛在問題或利益沖突。通過背景檢查，可以防止：因為人員解雇而導(dǎo)致法律訴訟因為雇用疏忽而導(dǎo)致第三方的法律訴訟雇用不合格的人員喪失商業(yè)秘密員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當對其進行檢查，對于處在有相當權(quán)力位置的人員，這種檢查應(yīng)定期進行。背景檢查（BackgroundCheck）背景檢查是工作申65保密協(xié)議

（ConfidentialityAgreement）組織應(yīng)與所有員工簽訂保密協(xié)議（或者NDA，NondisclosureAgreement），作為雇用合同基本條款的一部分保密協(xié)議應(yīng)明確規(guī)定雇員對組織信息安全的責任、保密要求及違約的法律責任簽訂保密承諾旨在加強員工對組織信息安全應(yīng)承擔的責任，協(xié)議上應(yīng)有員工的簽名并由其保存一份協(xié)議副本對于處于試用期的新員工，要求其簽訂一份保密承諾在允許第三方用戶使用信息處理設(shè)施之前，要求其簽訂保密協(xié)議當雇用期或合同期有更改，特別是雇員到期離職或合同終止時，應(yīng)重申保密協(xié)議保密協(xié)議

（ConfidentialityAgreeme66人員離職(Termination)人員離職往往存在安全風險，特別是雇員主動辭職時解雇通知應(yīng)選擇恰當?shù)臅r機，例如重要項目結(jié)束，或新項目啟動前使用標準的檢查列表（Checklist）來實施離職訪談離職者需在陪同下清理個人物品確保離職者返還所有的公司證章、ID、鑰匙等物品與此同時，立即消除離職者的訪問權(quán)限，包括：解除對系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的訪問權(quán)