CISM信息安全保障重点分析.ppt

具体解释-2 雇佣中 保证其充分了解所在岗位的信息安全角色和职责 有针对性地进行信息安全意识教育和技能培训 及时有效的惩戒措施 * 举例——一些终端管理的现状 员工缺乏基本的安全意识，特别是一些业务人员等，没有进行统一的、系统的安全培训和学习的机会。 由于员工对发生安全问题后造成的后果不负任何责任，从而也就不能有效的督促员工提高自己的安全意识，最终形成恶性循环、导致员工不能严格遵循公司的安全管理制度。 个人电脑的密码设置为空或者非常脆弱 系统默认安装，从不进行补丁升级 拨号上网，给个人以及整个公司带来后门 启动众多不用的服务 人员层次不同，流动性大，安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄露等安全事件不胜枚举。 * 具体解释-3 离职人员存在的安全隐患 未删除的帐户 未收回的各种权限 VPN、远程主机、企业邮箱和VoIP等应用 其它隐含信息 网络机构、规划，存在的漏洞 同事的帐户、口令和使用习惯等 这些信息和权限如果被离职的员工和攻击者们恶意利用，很容易导致信息安全故障 * 具体解释-4 离职 终止职责，通知相关人员人事变化，明确离职后仍需遵守的责任规定 归还资产，保证离职人员归还软件、电脑、存储设备、文件和其他设备 撤销访问权限，撤销用户名、门禁卡、秘钥、数字证书等 * 系统运维安全管理-Why？ 案例1：２００７年８月３０日，美国空军一架Ｂ－５