企业信息灾难性或受到攻击性的新闻我们时有看到有报道,虽然是属信息安全个案的类型,但是我们平常中对于管控组织内部人员在之难度也相对较高,更须留意。以下三个方式,依据国际标准能降低内部管控的风险,不妨来学习参考参考ISO27001国际标准降低信息安全管控风险
信息安全难以做到百分之百完美。对于内部人员管控参考的方式是:
1. 进行人员教育训练
2. 落实账号权限盘点
3. 制定密码长度及复杂度之规范
依重要性控管(82法则),以下将管控措施连结 ISO 27001附录之编号供你可进一步参照,分别如下:
1. 将人员日常作业与信息安全意识作结合,避免人员疏失或故意行为对组织造成冲击(ISO 27001 A7.2.2 使用者安全认知及教育训练)
2. 账号权限也应定期在人员异动或具有管理权限的特权账号加以管控,在人员调职或离职时,尽速将账号锁住或移除,避免存取资源被误用,若发现未经授权之使用者时,系统管理员应立即停用该账号(ISO 27001 A9.2 使用者存取管理)
3. 密码是使用者身份验证的常用模式,建议在长度(例如八码以上)、复杂度(例如须包含特殊符号、英文大小写)上有所规范外,也要避免密码变更有规则可循,而遭到暴力破解(brute-force attack),有些信息安全案例中的犯罪人员即表示密码太好猜而登入系统并变更账号权限(ISO 27001 A9.4.3 通行码管理)
世界经济论坛(WEF)年度全球风险报告显示资料保护风险日渐提升,公司的资料保护的重要性也是日益增高,信息安全管控不只要对外防护,对内部人员之潜在风险也应留意,在合乎资源成本效益下妥善分配管控资源,持续提升信息安全能量。