有效信息安全管理的三個要素
令人沮喪的是,這些糟糕透頂的信息安全事件和隱私泄露已經變得如此司空見慣。 讓我們來看看其中的四個:
隨著越來越多的細節已經公布,索尼不斷發酵黑事件。
某急診室護士可以使用一個病人信用卡。
研究醫院因造成中西部中心女性健康記錄泄露簡單的裝卸作業。
加拿大多倫多道明銀行服務外包公司供應商信息遺失兩卷包含約26萬客戶進行數據的備份磁帶。
有這么多這樣的事件。 如果有基於以下三個主要核心要素的有效信息安全和隱私管理協議,這些事件和大多數其他信息安全事件可能會被避免:
風險管理
文件資訊保安及私隱政策及程序
包括定期的培訓和宣傳活動繼續下去嗎?教育交流
一、風險管理
作為一個廣泛存在風險進行管理工作計劃的一部分,如果對上面的這四個案例做一下風險分析評估的話,每個案例都將會發現具有重大安全風險。這裏僅就上面每個國家相應的案例,舉一例說明在數據信息泄露前就應該識別並可以降低的風險:
企業顧問服務是亞太區內領先的託管式安全服務供應商之一
除了入侵檢測和防禦系統的部署,應該出現在那裏索尼遠程訪問的安全漏洞在其網絡中找到,並建立更強大的控制機制。
急診室應當對工作管理人員進行實施數字監控,並且當工作研究人員對病人行竊時,要通過現場審計和背景分析調查來幫助學生識別。
醫院設施運行風險評估的研究應該能夠診斷打印病曆的處理過於簡單..
如果道明銀行建立了供應商安全和隱私程序監測和管理程序,它可以抓住任何供應商業務的松懈。
二、策略和流程
如果每個案件都記錄在案的政策和程序,它將建立對所有工作人員在整個企業內正常的工作活動,看到一提的是什么樣的信息將提供一個有效的和持續的保護,還將建立工作人員需要熟悉的要求和責任。這裏上面僅就每個相應箱子,應該給數據丟失之前一例識別,並可能降低的風險:
索尼應當通過建立一個文檔管理策略和支持工作流程,不允許在數據進行文件中明文存儲系統用戶ID和密碼。(鬼知道他們自己為什么會做出這種可怕的高風險行為!?)
急診室應落實相關政策,確保所有患者都放在儲物櫃貴重物品的工作人員無法到達內。
研究中國醫院應當有策略和規程,對要處理的包含機密數據信息的所有文檔可以進行全面徹底粉碎。
銀行應該有一項政策,要求所有備份磁帶在提供給供應商之前都要加密存儲。
三、教育培訓
索尼應該為所有人員提供信息安全和隱私培訓,並定期和頻繁地向所有人員發送提醒,以保護所有類型的關鍵任務和寶貴的知識產權,避免不當發布。
急診室的人員應提供所有的信息安全和隱私培訓,並定期,頻繁地發送提醒所有員工他們提醒,以保護患者信息,以了解其他人在做病人的財產,以及如何報告可疑活動。
研究醫院應當為處理任何一種形式信息的所有工作人員可以提供一個安全問題處理技術培訓,並定期、頻繁地向所有企業人員發送提醒,提醒他們在丟棄帶有敏感信息的任何其他類型媒體前要進行徹底銷毀。
TD銀行應確保其供應商和其他實體為所有雇員提供外包信息安全和隱私培訓,並確保他們定期提醒所有員工的頻繁,如何保證托付給他們完整的客戶信息。
相關文章:
Ingen kommentarer endnu