信息安全管理措施之物理安全
什麼是信息?
對於現代企業來說,信息是一種資產,包括電子文件、紙質文件、圖紙、標準、專利、報價簡訊消息、電話彙報等,信息資產是具有重要價值的。
什麼是信息安全?
採取措施保護信息資產,使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露,保證信息系統能夠連續、可靠、正常地運行,使安全事件對業務造成的影響減到最小,確保組織業務運行的連續性。
信息安全意識
信息安全意識(Information Security Awareness),就是能夠認知可能存在的信息安全問題,預估信息安全事故對組織的危害,恪守正確的行為方式,並且執行在信息安全事故發生時所應採取的措施。
信息安全的目標
? 保密性:確保信息在生成、傳輸、保存過程中不會被泄露。
? 可用性:確保信息及資源在有需要的時候可以正常使用。
? 完整性:確保信息在生成、傳輸、保存過程中不會被惡意修改。
我們的目標
? 建立對信息安全的敏感意識和正確認識
? 掌握信息安全的基本概念、原則和慣例
? 清楚可能面臨的威脅和風險
? 遵守各項安全策略和制度
? 在日常工作中養成良好的安全習慣
? 最終提升整體的信息安全水平
信息安全管理措施之物理安全
? 安全目標
防止物理設備在未授權的情況下被訪問、或損壞,確保硬體的絕對安全,盡量做到點對點,減少中間的流轉環節。盡量對移動存儲器中的內容進行加密設置,防止未授權人員對其進行訪問。
? 案例說明
1、全球每隔53,秒鐘就會有一台筆記本電腦失竊——Software Insurance
2、97%的失竊筆記本電腦都沒有希望找回——FBI
3、你的筆記本電腦失竊的機率為10%,這意味著每十個人中就有一個人會丟失筆記本電腦——Gartner Group
4、惠普公司提供服務的富達投資公司的幾名員工在公司以外場所使用時被盜,這台筆記本電腦中存儲了惠普公司的19.6萬現有員工和以前員工的相關資料。具體資料包含員工姓名、地址、社會保險號、生日和其他一些與員工有關的資料。
5、2006年5月,美國退伍軍人事務部的一名員工家被盜,其中丟失的一台筆記本電腦中存有包括自1975年以來大約2650萬名美國退伍軍人及其部分家屬的姓名、出生日期和社會安全號碼等健康狀況等。儘管有前車之鑒,但類似的事件仍然層出不窮。
據統計丟失一台未加密的商用電腦損失平均達30萬人民幣。
? 控制措施
物理區域設置門衛或門禁,非工作人員出入需登記;
嚴禁所有人員攜帶個人電腦進入公司,客戶及供應商電腦如需要進入公司需進行登記,禁止接入公司網路;
所以人員不得將門禁卡借與他人使用;
人員下班或較長時間離開房間時,房間門上鎖;
文件櫃、保險柜、檔案柜上鎖;
列印/複印後要及時取走;
作廢的機密文檔要用碎紙機碎掉或撕成碎塊,不要直接作為垃圾丟棄;
個人宿舍員工個人電腦僅限於宿舍區內使用;
移動介質是最經常丟失引起數據泄露最方便的方式;
移動介質包括,筆記本電腦、掌上型電腦、移動硬碟、U盤、光碟、磁帶、存儲卡及帶有數據存儲功能的可移動設備(如MP3播放器、智能手機)等。
? 控制措施
個人移動存儲設備嚴禁帶入公司內部網路使用。
TAG:anbaikeji |