人员安全策略

• 人员在职控制
  • 职责分离
  • 最小特权
  • 工作轮换
  • 强制休假
• 人员录用控制
  • 背景调查
  • 技能考核
  • 保密协议
• 人员离岗控制
  • 离职访问权限回收
  • 身份识别物件回收
• 第三方人员控制
  • 不驻场，有管理员权限
    • 保密协议
    • 监控所有工作行为
    • 接入时，确保第三方人员身份
  • 驻场，有管理员权限
    • 上述之外，增加背景调查
    • 离场回收权限
  • 第三方合同条款增加保密要求
• 合规策略
• 隐私策略

安全治理

风险管理相关要素

• 资产
• 威胁 threat（来自外部）
• 脆弱性/漏洞 vulnerability
• 风险 = 威胁 X 脆弱性 X 资产价值
• 风险 = 可能性 X 影响
• 安全措施：降低可能性，降低影响
• 残留风险：实施安全措施后，残留的风险
• 风险管理
  • 识别病评估风险，把风险降低到可接受水平，适当的机制维持级别
  • 不存在100%安全的环境，平衡
• 风险评估
  • 任务
    • 识别构成风险的因素
    • 评估可能性和影响，最终评估风险大小
    • 确定组织承受风险能力
    • 确定风险消减和控制的策略、目标、优先顺序
    • 推荐风险消减对策
  • 方法 AIO
    • ISO27005
      • 识别风险
      • 分析风险
      • 评价风险

风险响应

• 风险处置
  • 缓解/减少/削弱风险 Mitigate/Reduce Risk
    • 减少威胁
    • 减少弱点
    • 降低影响
  • 转移风险 transfer
    • 外包
    • 保险
  • 接受风险 accept：忍了
  • 避免风险 avoid：不做了
  • 忽略风险 neglect：没有意识到风险
• 风险控制措施选择对策
  • 成本-效益分析
    • 基本原则：代价不大于保护资产的价值
    • 成本：购买费用、对业务的影响、额外人力物力、培训费用、维护成本
  • 约束
    • 时间约束、技术约束、环境约束
    • 法律约束、社会约束
• 控制
  • 按照方式分类
    • 管理性控制
      • 制定策略、标准、措施、指导原则
      • 风险管理
      • 人员安全
      • 安全意识培训
    • 技术性控制
      • 访问机制
      • 密码和资源管理
      • 身份标识、身份验证
      • 安全设备
    • 物理性控制
      • 控制人对场所的访问。门禁、保安、锁
      • 保护设施的周边。栅栏、围墙、照明
      • 物理检测入侵
      • 环境控制
  • 按照作用分类
    • 预防性
    • 检测性
    • 纠正性（备份、改正）
    • 补偿
    • 威慑
    • 恢复
• 安全意识、培训、教育
• 安全管理功能