有效信息安全管理三要素！

香加一

近年来，许多严重的安全事件和信息泄露频频爆发。比如索尼被黑事件、医院由于工作疏忽造成医疗中心病历泄露、加拿大多伦多道明银行外包供应商遗失两卷包含约26万客户数据的备份磁带等。

其实大多数的信息安全事件，本是可以避免的，前提是建立一个有效的信息安全和隐私管理规程，以下三个要素可谓是非常重要：

· 风险管理

· 将信息安全和隐私的策略与流程形成文档

· 包括定期培训、持续意识教育活动与沟通

一、风险管理

作为更广泛的风险管理计划的一部分，如果对上面的四个案例做一下风险评估的话，每个案例都将会发现重大风险。

1、除了部署入侵检测和防御系统，应该在其网络中发生远程访问的地方发现漏洞，并建立更强的准入控制机制。

2、结合数据防泄露机制对重要文件进行打印审计或是IP地址水印泄露追踪应不是难事。

3、建立供应商安全和隐私规程监督管理程序，对于供应商在作业中的任何松懈都可以抓个正着。

二、策略和流程

如果每个案例都将策略和流程形成文档的话，将为所有工作人员建立参考，用以查看在整个企业正常工作活动中是什么会对信息提供有效和持续的保护，并且也建立员工需要熟知的要求和职责。这样在数据泄露前就应该识别并可以降低的风险：

1、建立文档策略和支持流程，不允许在数据文件中明文存储用户ID和密码。

2、应当有策略和规程，对要处理的包含机密信息的所有文档进行审计、流向追踪。

3、做到对所有敏感文件进行加密存储的安全流转。

三、教育培训

1、应当为所有人员提供信息安全和隐私培训，并定期、频繁地向所有人员发送提醒，提醒他们保护好所有类型的关键任务和有价值的知识产权，防止不当释放。

2、对处理任何形式信息的所有人员提供安全处理培训，并定期、频繁地向所有人员发送提醒，提醒他们在丢弃带有敏感信息的任何类型媒体前要进行彻底销毁。

3、确保其供应商和其他外包实体为他们的所有人员提供信息安全和隐私培训，并确保他们定期、频繁地提醒他们的所有人员，如何保完客户委托给他们的信息。

不论什么规模的组织，这都是保障有效信息安全管理需要遵守的底线。任何类型、任何规模的组织，都需要围绕上述的三个核心要素建立自己的信息安全和隐私规程。否则必将面临潜在的重大信息安全事件和隐私泄露的风险。

      转自：信息安全leagsoft 空间