信息系统的资产管理及用人管理
作者:互联网
一、信息生命周期的四个阶段
获取阶段:从复制和开始创建开始。
使用阶段:保持内部的一致性;使用过程中受到法律约束。
存档阶段:不再使用的数据的拷贝,目的是在某个时间可能还会使用。一定条件下可以删除,以腾挪存储空间。
备份:当前正在使用的文件的副本,目的是能恢复丢失的原始数据。
处置阶段:不在使用的数据。此过程要求考虑多个副本的问题。
对于信息资产的使用和存档形成一个小循环,在获取、使用、存储会考虑如何保存和保护的问题,而这些问题又会影响信息的分类标准。而信息的分类与角色相关,这些均会影响资产的获取、使用、存储和处置的过程。具体关系如下图所示:
在信息处置阶段,由于备份等其他需求可能会产生多个副本,如何彻底处置数据是一个挑战。
二、信息的分类
1.类别
信息的分类类别根据企业所处国家的法律法规要求和企业性质会有所不同。
隐私信息:人力资源信息、工作经历、医疗信息
绝密信息:新型战争武器设计图、间谍卫星信息、间谍行为资料
敏感信息:财务信息、项目细节、利润及其预测
机密信息:商业秘密、卫生保健信息、程序代码、使公司保持竞争优势的信息
秘密信息:军队驻扎计划、核弹部署
公开:多少人完成某项工作、即将开工的项目
未分类:计算机手册和保修资料
敏感但未分类:医疗信息、测试评分大难
商业信息由高到低:机密、隐私、敏感、公开
军事敏感信息由高到低:绝密、秘密、机密、敏感但未分类、未分类
按照我国等级保护和分级保护的标准要求,从低到高一般分为:公开、普通商秘、核心商秘、内部、秘密、机密、绝密,其中核心商秘等同内部信息管理。
2.分类的控制手段
对于每种分类采取何种控制手段取决于管理团队和安全团队决定的保护级别。一般方法包括:
1.人员录用控制
对于信息资产的使用和存档形成一个小循环,在获取、使用、存储会考虑如何保存和保护的问题,而这些问题又会影响信息的分类标准。而信息的分类与角色相关,这些均会影响资产的获取、使用、存储和处置的过程。具体关系如下图所示:
在信息处置阶段,由于备份等其他需求可能会产生多个副本,如何彻底处置数据是一个挑战。
二、信息的分类
1.类别
信息的分类类别根据企业所处国家的法律法规要求和企业性质会有所不同。
隐私信息:人力资源信息、工作经历、医疗信息
绝密信息:新型战争武器设计图、间谍卫星信息、间谍行为资料
敏感信息:财务信息、项目细节、利润及其预测
机密信息:商业秘密、卫生保健信息、程序代码、使公司保持竞争优势的信息
秘密信息:军队驻扎计划、核弹部署
公开:多少人完成某项工作、即将开工的项目
未分类:计算机手册和保修资料
敏感但未分类:医疗信息、测试评分大难
商业信息由高到低:机密、隐私、敏感、公开
军事敏感信息由高到低:绝密、秘密、机密、敏感但未分类、未分类
按照我国等级保护和分级保护的标准要求,从低到高一般分为:公开、普通商秘、核心商秘、内部、秘密、机密、绝密,其中核心商秘等同内部信息管理。
2.分类的控制手段
对于每种分类采取何种控制手段取决于管理团队和安全团队决定的保护级别。一般方法包括:
- 访问控制
- 存储和传输加密
- 审计和监控(确定所需的审计级别以及日志保留时间)
- 责任分离(确定访问敏感信息是否需要多人,防止欺诈行为)
- 定期审查(审查分类级别及相关数据集合,从而确保他们仍然与业务需求保持一致;根据实际情况,可能还需要对数据货应用程序进行再分类或解密)
- 备份与恢复措施
- 变更控制
- 物理安全保护
- 信息流通道
- 正确的处理动作规定,如何粉碎、消磁等措施
- 标签和处理步骤
- 全面负责信息安全,是信息安全的最终负责人
- 规划信息安全,确定目标和有限次序,委派信息安全责任
- 明确信息安全目标和方针为信息安全活动指引方向
- 为信息安全活动提供资源
- 重大事项做出决策
- 协调组织不同单位不同环节的关系
- 首席执行官(CEO):负责组织机构日常管理工作,确保公司的发展和繁荣
- 首席财务官(CFO):管财务,监督公司运营预测和预算
- 首席信息管(CIO):负责公司安全计划执行,负责组织内部信息系统和技术的战略使用与管理
- 首席隐私管(CPO)
确保客户、公司和雇员的数据安全,避免公司陷入诉讼,防止数据泄露出现新闻 由律师担任,直接参与有关数据收集、保护和将数据交付给第三方的策略制订,一般向CSO提交报告
- 首席安全管(CSO):
- 负责了解公司面临的风险和将这些风险缓解到可接受的级别。
- 要了解公司业务,制定和维护一个安全计划
- 确保业务不会因为安全问题而出现任何形式的中断
- 扮演内部信息安全协调和促动的角色
- 需要理解组织的业务目标,引导风险管理过程,
- 确保业务操作和可接受风险之间达成恰当的平衡
具体职责:
- 为信息安全活动做预算
- 策略、程序、基线、标准和指南的开发
- 开发安全意识程序
- 参与管理会议
- 协助内部和外部的审计
- 首席信息安全管(CISO): 更加关注技术问题,而且有IT背景。若有CSO,向CSO汇报
- 决定数据的分类
- 定义每种分类的安全需求和备份需求
- 定义用户访问准则
- 批准访问请求
- 处理与之有关的违法行为
- 执行数据的常规备份
- 定期验证数据的完整性
- 备份截至还原数据
- 实现公司关于信息安全和数据保护的信息安全策略、标准和指导原则
- 负责一个或多个系统,每个系统可能保存并处理由不同数据所有者拥有的数据
- 负责将安全因素集成到应用程序和系统中
- 确保系统脆弱性得到评估
- 采用足够的安全措施保证系统安全
- 侧重维护网络的安全
- 创建系统用户账户、新安全软件安装、测试补丁、发放新密码
- 根据公司要求和数据所有者指示对数据进行授权
- 负责实施、监视和执行安全规定和策略
- 向安全委员会和信息安全官报告
- 定期巡查
- 检查系统,判断是否满足安全需求以及安全控制是否有效
- 向安全目标管理提供独立保障
- 帮助制订策略、标准和指南,并设立各种基准
- 主要在设计层面,非实现层面
- 受高级管理层委派(通常向CIO)负责实施和维护安全
- 设计、实施、管理和复查组织的安全策略、标准、指南和程序
- 协调组织内部各单位之间所有的与安全相互的交互
- 定义组织机构的可接受风险级别
- 确定安全目标和找略
- 根据业务需求决定安全活动的优先级
- 审查风险评估和审计报告
- 监控安全风险的业务影响
- 审查重大的安全违规和事故
- 批准安全策略和计划的任何重要变更
- 公司财务报表以及财务信息的完整性
- 公司的内部控制系统
- 独立审计员的雇佣和表现
- 内部审计功能的表现
- 遵守与道德有关的法律要求和公司策略
- 保存什么数据
- 保存多长时间
- 在哪里保存:对于在哪里保存,更多的是为了便于使用。
- 追踪(审计日志记录)
- 有效实现访问控制:物理、技术和行政
- 追踪(本地或异地)备份版的数量和位置
- 对介质变更历史做归档
- 确保环境条件不会危及介质安全
- 确保介质完整性
- 定期清查介质
- 安全处置
- 覆盖:使用随机或固定模式的1或0替换存储介质上的文件。其中美国DoD 5220.22-M 要求覆盖七次,目前已经被消磁取代
- 消磁:通过磁场破坏磁盘的数据,磁盘会被破坏。
- 加密:删除加密密钥,使数据不可恢复。
- 物理损坏:物理方式的破坏。
- 政府法规:FPA、VA ISA 、USA PATRIOT
- 公司法规:HIPAA、HITECH、GLBA、PIDEDA
- 自我约束:PCI DSS
- 个人用户:密码、加密、意识
- 主动寻求保护公民的个人可标识信息(PII)
- 在政府和业务的需求与安全问题而考虑收集和使用PII之间,主动寻求平衡
- 个人数据控制者的义务
- 收集个人数据需要征得数据主体的同意并告知用途
- 只收集与用途有关的数据,只在用途所需期限内使用和保存
- 数据收集的方法数据的用途合法
- 采取合理措施,技术、管理和操作措施,防止个人信息遭到恶意侵犯, 保证数据的完整性和保密性,并清除过时数据,防止无用途相关工作需要的人访问
- 调查取证比较困难,证据容易遭到破坏
- 相关法律不完善
- 跨地域的特征
- 从统计来看,内部人员实施犯罪几率比较高
- 受害机构有时不报告,担心影响机构的正常运作和损害用户对机构的信任
- 资源必须是机密的,应该以某些安全防范和行为进行防护
- 与公司的竞争或市场能力至关重要
- 不是众所周知的,公司付出了相关的资源和努力开发的
- 受到公司适当保护以防止泄漏或非授权使用
- 保护代表公司形象的单词、名称、符号、形状、声音、颜色
- 商标通常在商标注册机构进行注册
- 商标是公司在市场运作过程中建立起来的质量和信誉标志
- 对专利注册人或公司专利拥有权的法律认可,禁止他人或公司未经授权使用
- 专利有效期20年
- 免费软件:免费
- 学术软件:低于成本出售
- 共享软件:可以试用商业用途就会收费
- 商业软件:使用就收费
1.人员录用控制
- 背景检查:减少风险、减少招聘成本、减低员工的流动率
- 技能考核:评估是否满足岗位要求
- 签署保密协议:保护公司敏感信息
标签:用人,信息安全,信息系统,管理,分类,信息,安全,使用,数据 来源: https://www.cnblogs.com/worter991/p/12583936.html