【正文】 ? CPO（ Chief Privacy Officer，首席隱私官） ? 是一個(gè)較新的職位，設(shè)立該職位主要是因?yàn)楣驹诒Ｗo(hù)各種類型數(shù)據(jù)方面面臨日益增長的需求。這個(gè)角色負(fù)責(zé)確?？蛻簟⒐竞凸蛦T數(shù)據(jù)的安全，避免公司陷入刑事和民事訴訟，并防止公司由于數(shù)據(jù)泄露而登上新聞?lì)^條。這個(gè)職位通常由律師擔(dān)任，并直接參與有關(guān)數(shù)據(jù)的收集、保護(hù)盒將數(shù)據(jù)交付給第三方的策略制訂。 執(zhí)行管理層 ? CSO（ Chief Security Officer，首席安全官） ? 了解公司面臨的風(fēng)險(xiǎn)和將這些風(fēng)險(xiǎn)緩解至可接受的級(jí)別。這個(gè)角色要了解組織機(jī)構(gòu)的業(yè)務(wù)推動(dòng)了，并為促進(jìn)這些推動(dòng)力而制訂和維護(hù)一個(gè)安全計(jì)劃，同時(shí)還負(fù)責(zé)提供安全、確保遵守大量法律法規(guī)以及滿足客戶需求或合約義務(wù)。 安全指導(dǎo)委員會(huì) （ Security Steering Committee ） ? 審計(jì)委員會(huì)（ Audit Committee） ? 公司財(cái)務(wù)報(bào)表以及向股東和其他人提供的財(cái)務(wù)信息的完整性 ? 公司的內(nèi)部控制系統(tǒng) ? 獨(dú)立審計(jì)員的雇傭和表現(xiàn) ? 內(nèi)部審計(jì)功能實(shí)現(xiàn) ? 遵守與道德有關(guān)的法律要求和公司策略 ? 數(shù)據(jù)屬主（ Data owners） ? 確定數(shù)據(jù)的分類等級(jí)，確定訪問特權(quán)，維護(hù)信息系統(tǒng)中數(shù)據(jù)的正確性和完整性 ? 數(shù)據(jù)保管（ Data Custodian） ? 負(fù)責(zé)保管系統(tǒng) /數(shù)據(jù)庫，通常就是網(wǎng)絡(luò)和系統(tǒng)管理人員 ? 系統(tǒng)所有者（ System Owner） ? 包括網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫、應(yīng)用等的系統(tǒng)管理員 ? 根據(jù)安全管理的要求對(duì)自己所負(fù)責(zé)的系統(tǒng)進(jìn)行日常安全保障 安全指導(dǎo)委員會(huì) （ Security Steering Committee ） ? 安全管理員（ Security Administrator） ? 負(fù)責(zé)實(shí)施、監(jiān)視并執(zhí)行安全規(guī)定和策略 ? 各部門可以設(shè)立自己的安全管理員，負(fù)責(zé)執(zhí)行本部門安全管理事務(wù) ? 向安全委員會(huì) /信息安全主管報(bào)告 ? 安全分析員（ Security Analyst） ? 幫助制訂策略、標(biāo)準(zhǔn)和指南，并設(shè)立各種基準(zhǔn) ? 應(yīng)用程序所有者（ Application Owner） ? 業(yè)務(wù)部門經(jīng)理，負(fù)責(zé)規(guī)定哪些人有權(quán)訪問他們的應(yīng)用程序 ? 監(jiān)督員（ Supervisor） ? 也稱為用戶經(jīng)歷，主要負(fù)責(zé)所有用戶活動(dòng)以及由這些用戶建立并擁有的資產(chǎn) 安全指導(dǎo)委員會(huì)（ Security Steering Committee ） ? 變更控制分析員（ Change Control Analyst） ? 負(fù)責(zé)批準(zhǔn)或否決變更網(wǎng)絡(luò)、系統(tǒng)或軟件的請(qǐng)求 ? 數(shù)據(jù)分析員（ Data Analyst） ? 保證以最佳方式存儲(chǔ)數(shù)據(jù)，從而為需要訪問和應(yīng)用數(shù)據(jù)的公司與個(gè)人提供最大的便利 ? 流程所有者（ Process Owner） ? 負(fù)責(zé)正確定義、改進(jìn)并監(jiān)控這些過程 ? 方案解決商（ Solution Provider） ? 用戶（ User） ? 具備應(yīng)有的安全意識(shí) ? 遵守安全策略，恰當(dāng)使用信息和系統(tǒng)，通報(bào)安全事件 安全指導(dǎo)委員會(huì) （ Security Steering Committee ） ? 生產(chǎn)線經(jīng)理（ Product Line Manager） ? 審計(jì)員（ Auditor） ? 向安全目標(biāo)管理提供獨(dú)立保障 ? 檢查系統(tǒng)，判斷系統(tǒng)是否滿足安全需求，以及安全控制是否有效 安全指導(dǎo)委員會(huì) （ Security Steering Committee ） ? 人員安全 ? 職責(zé)分離（ Separation of duties） ? 不應(yīng)有人從頭到尾地完全控制一項(xiàng)牽涉到敏感的、有價(jià)值的、或者關(guān)鍵信息的任務(wù)。 ? 例如金融交易中，一個(gè)人負(fù)責(zé)數(shù)據(jù)錄入，另一個(gè)人負(fù)責(zé)檢查，第三人確認(rèn)最終交易。 ? 雙重控制 ：開發(fā) /生產(chǎn)；安全管理 /審計(jì)；加密密鑰管理 /密鑰更改。 ? 知識(shí) 分割 ：加密密鑰分成兩個(gè)組件，任何一個(gè)都不會(huì)泄漏另一個(gè)。 ? 工作輪換（ Job rotation） ? 不允許某人過長時(shí)間地?fù)?dān)任某個(gè)固定的職位，其目的是避免個(gè)人獲得過多的控制。 ? 設(shè)臵人員備份，有利于交叉培訓(xùn)，有利于發(fā)現(xiàn)欺詐行為。 ? 強(qiáng)制度假（ Mandatory vacation） ? 要求擔(dān)任敏感職位的人員度假。讓某些職員離開崗位一段時(shí)間，其他人就能介入并檢查其疏漏 安全指導(dǎo)委員會(huì) （ Security Steering Committee ） ? 人員離職（ Termination） ? 人員離職往往存在安全風(fēng)險(xiǎn)，特別是雇員主動(dòng)辭職時(shí) ? 解雇通知應(yīng)選擇恰當(dāng)?shù)臅r(shí)機(jī)，例如重要項(xiàng)目結(jié)束，或新項(xiàng)目啟動(dòng)前 ? 使用標(biāo)準(zhǔn)的檢查列表（ Checklist）來實(shí)施離職訪談 ? 離職者需在陪同下清理個(gè)人物品 ? 確保離職者返還所有的公司證章、 ID、鑰匙等物品 ? 與此同時(shí)，立即消除離職者的訪問權(quán)限，包括： ? 解除對(duì)系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的訪問權(quán) ? 解除電話，注銷電子郵箱，鎖定 Inter賬號(hào) ? 通知外部伙伴或客戶，聲明此人已離職 背景檢查（ Background Check） ? 背景檢查是工作申請(qǐng)過程的一個(gè)部分，組織至少會(huì)審查申請(qǐng)人簡歷中的基本信息?？梢酝ㄟ^ Reference Check來了解其真實(shí)履歷。對(duì)于敏感職位，可能還會(huì)考慮進(jìn)一步的調(diào)查。調(diào)查過程中，組織可以請(qǐng)求訪問申請(qǐng)人的信用和犯罪記錄，甚至可以聘請(qǐng)外部公司對(duì)申請(qǐng)人進(jìn)行調(diào)查，以確定是否存在潛在問題或利益沖突。 ? 通過背景檢查，可以防止： ? 因?yàn)槿藛T解雇而導(dǎo)致法律訴訟 ? 因?yàn)楣陀檬韬龆鴮?dǎo)致第三方的法律訴訟 ? 雇用不合格的人員 ? 喪失商業(yè)秘密 ? 員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當(dāng)對(duì)其進(jìn)行檢查，對(duì)于處在有相當(dāng)權(quán)力位臵的人員，這種檢查應(yīng)定期進(jìn)行。 保密協(xié)議 （ Confidentiality Agreement ） ? 組織應(yīng)與所有員工簽訂保密協(xié)議（或者 NDA，Nondisclosure Agreement），作為雇用合同基本條款的一部分 ? 保密協(xié)議應(yīng)明確規(guī)定雇員對(duì)組織信息安全的責(zé)任、保密要求及違約的法律責(zé)任 ? 簽訂保密承諾旨在加強(qiáng)員工對(duì)組織信息安全應(yīng)承擔(dān)的責(zé)任，協(xié)議上應(yīng)有員工的簽名并由其保存一份協(xié)議副本 ? 對(duì)于處于試用期的新員工，要求其簽訂一份保密承諾 ? 在允許第三方用戶使用信息處理設(shè)施之前，要求其簽訂保密協(xié)議 ? 當(dāng)雇用期或合同期有更改，特別是雇員到期離職或合同終止時(shí)，應(yīng)重申保密協(xié)議 人員離職 (Termination) ? 人員離職往往存在安全風(fēng)險(xiǎn)，特別是雇員主動(dòng)辭職時(shí) ? 解雇通知應(yīng)選擇恰當(dāng)?shù)臅r(shí)機(jī)，例如重要項(xiàng)目結(jié)束，或新項(xiàng)目啟動(dòng)前 ? 使用標(biāo)準(zhǔn)的檢查列表（ Checklist）來實(shí)施離職訪談 ? 離職者需在陪同下清理個(gè)人物品 ? 確保離職者返還所有的公司證章、 ID、鑰匙等物品 ? 與此同時(shí)，立即消除離職者的訪問權(quán)限，包括： ? 解除對(duì)系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的訪問權(quán) ? 解除電話，注銷電子郵箱，鎖定 Inter賬號(hào) ? 通知外部伙伴或客戶，聲明此人已離職 基本認(rèn)識(shí) ? 因?yàn)槿狈ε嘤?xùn)，對(duì)安全沒有基本的意識(shí)，人往往就成為安全鏈條中最薄弱的一個(gè)環(huán)節(jié)。 ? 即使是最微不足道的事情也可能極大地影響到組織整體的安全地位。 ? 雇員必須意識(shí)到保護(hù)組織的信息資產(chǎn)；操作者（ operator）必須經(jīng)過培訓(xùn)，以便掌握安全履行職責(zé)的技能；安全實(shí)踐者（ security practitioner）應(yīng)該接受教育，以便實(shí)施和維護(hù)必要的安全控制。 ? 所有的雇員都應(yīng)該接受關(guān)于安全基本概念和利弊分析的教育，通過意識(shí)、培訓(xùn)和教育，改進(jìn)員工的態(tài)度和行為，提高員工對(duì)自己的行為負(fù)責(zé)的能力，從而改進(jìn)組織的安全。 ? 安全意識(shí)培訓(xùn)必須自上而下進(jìn)行驅(qū)動(dòng)。 增強(qiáng)全體人員的安全意識(shí) ? 安全意識(shí)（ Security awareness），泛指組織員工對(duì)安全和安全控制重要性的一般性的、集體的意識(shí)。促進(jìn)安全意識(shí)，可以減少人員的非授權(quán)活動(dòng)，可以增強(qiáng)保護(hù)控制的效率，有助于避免欺詐和對(duì)計(jì)算資源的浪費(fèi) ? 員工具有安全意識(shí)的標(biāo)志： ? 認(rèn)知可能存在的安全問題及其危害，理解安全所需 ? 明白自身的安全職責(zé)，恪守正確的行為方式 ? 促進(jìn)安全意識(shí)的方法和途徑多種多樣： ? 交互性的、實(shí)時(shí)的介紹，課程，視頻 ? 出版發(fā)布物品，新聞傳單，張貼物，簡報(bào)，布告欄， Intra ? 獎(jiǎng)金和贊譽(yù)等激勵(lì)機(jī)制 ? 提醒物，比如登錄 banner，筆、便簽、鼠標(biāo)墊等隨身物品 ? 安全意識(shí)材料應(yīng)該直接、簡單和清楚，易于理解，要有創(chuàng)新和變化 信息安全培訓(xùn)和教育 ? 培訓(xùn)（ Training）不同于意識(shí)，其目的是傳授安全相關(guān)的工作技能，主要對(duì)象為信息系統(tǒng)管理和維護(hù)人員，通常利用一對(duì)一的課堂形式，包括： ? 為操作者和具體用戶提供的安全相關(guān)的職務(wù)培訓(xùn) ? 為與敏感安全位臵相關(guān)的具體的部門或人員提供的技能培訓(xùn) ? 為 IT支持人員和系統(tǒng)管理員提供的技術(shù)性安全培訓(xùn) ? 為安全實(shí)踐者和信息系統(tǒng)審計(jì)師提供的高級(jí)信息安全培訓(xùn) ? 為高級(jí)管理者、職能經(jīng)理和業(yè)務(wù)單位經(jīng)理提供的安全培訓(xùn) ? 教育（ Education）更為深入，其目的是為安全專業(yè)人士提供工作所需的專業(yè)技術(shù)，一般通過外部程序?qū)崿F(xiàn)，并且應(yīng)該成為職業(yè)規(guī)劃的一部分 ? 具體的安全軟件和硬件的產(chǎn)品培訓(xùn)也很重要 安全治理（ Security Governance ） ? 信息安全治理是 IT治理的一部分。 ? 董事會(huì)應(yīng)關(guān)心： ? 設(shè)定策略和戰(zhàn)略的方向 ? 提供安全活動(dòng)資源 ? 指派管理責(zé)任 ? 設(shè)定優(yōu)先級(jí) ? 支持必須的改變 ? 定義與風(fēng)險(xiǎn)評(píng)估相關(guān)文化 ? 從內(nèi)外部審計(jì)獲取保障 ? 堅(jiān)持安全投資被度量和被報(bào)告 安全治理（ Security Governance ） ? 信息安全治理是董事會(huì)和高級(jí)管理層的職責(zé)，必須公司治理的有機(jī)組成部分。信息安全治理由領(lǐng)導(dǎo)關(guān)系、組織架構(gòu)和保護(hù)信息的流程組成。 ? 信息安全治理帶來一系列收益 ? 為實(shí)現(xiàn)有效的信息安全治理，管理層必須制定和維護(hù)一個(gè)框架，以指導(dǎo)建立和管理一個(gè)支持業(yè)務(wù)目標(biāo)的全面的信息安全流程。該治理框架一般由以下內(nèi)容組成： ? 在本質(zhì)上與業(yè)務(wù)目標(biāo)相銜接的全面的安全策略 ? 對(duì)戰(zhàn)略、控制和法規(guī)進(jìn)行全面落實(shí)的政策 ? 確保規(guī)劃和指南能與政策保持一致的一套標(biāo)準(zhǔn) ? 不存在利益沖突的一套有效的安全組織結(jié)構(gòu) ? 對(duì)符合性進(jìn)行監(jiān)督并能反饋其效果的制度化監(jiān)督流程 ? 該框架為制定一套有成本效益的、支持組織業(yè)務(wù)目標(biāo)的信息安全程序提供基礎(chǔ)。 交流與討論 2023年 3月 18日星期六 演講完畢，謝謝觀看！