域1:安全与风险管理 第2章-人员安全与风险管理

        第二章的内容确实较为丰富,需要细心且耐心地逐步消化和理解。不妨放慢阅读速度,对每个要点都进行深入思考,确保自己真正掌握了其核心意义。这样,虽然可能花费更多时间,但能够更扎实地掌握第二章的知识,为后续的学习打下坚实的基础。


第2章、人员安全与风险管理

1、人员是安全的关键元素。

在所有安全解决方案中,人员经常被视为最脆弱的元素。 无论部署了什么物理或逻辑控制措施,人总是可以找到方法来规避、绕过控制措施,或使控制措施失效。不过,当人员受到适当的培训,并被激励去保护自己和组织的安全时,他们也可以成为关键的安全资产

2、岗位描述的重要性。

如果没有岗位描述,就不能对应该招聘哪类人员达成共识。因此,制订岗位描述是定义与人员相关的安全需求并招聘新员工的第一步。

3、 雇用新员工对安全的影响。

为实施恰当的安全计划,必须为岗位描述、岗位分类、 工作任务、岗位职责、防范串通、候选人筛选、背景调查、安全调查、雇佣协议和保密协议等设立标准。确保新员工了解所需的安全标准,从而保护组织的资产。

4、 入职和离职。

入职是将新员工添加到组织的流程,包括组织特性的社会化和引导。 离职是在员工离开组织后,将其身份从 IAM 系统中删除的流程。

5、 最小特权原则。

最小特权原则指出用户应获得完成其工作任务或工作职责所需的最小访问权限。

6、保密协议(NDA) 的必要性。

NDA 用于保护组织内的机密信息,使其不被前雇员披露。当人员签署 NDA 时,他们同意不向组织外部的任何人披露任何被定义为机密的信息。

7、 员工监督。

在员工的整个雇佣过程中,管理人员应定期审查或审核每位员工的岗位描述、工作任务、特权和职责。

8、强制休假的必要性。

为了审计和核实员工的工作任务和特权,可执行一到两周的强制休假。该方法能够轻易发现特权滥用、欺诈或疏忽。

9、 UBA和UEBA。

用户行

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我只会Traceroute

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值