超级会员免费看
信息安全:从基础到实践
1. 组织安全防御层
在组织的安全体系中,用户处于最核心的防御层。当其他防御层都失效时,组织需要依靠知识丰富且有道德的用户来保护关键信息。为了实现这一目标,用户必须了解安全政策以及关键信息丢失对组织的影响,教育在此起着关键作用。同时,这一层也高度依赖通过背景调查招聘合适的人员。
组织内建立的防御流程应根据自身需求来确定。有些组织可能只需要较少的防御层,而有些则需要更多。应根据信息的价值和面临的威胁来选择合适的防御措施。
2. 风险管理
2.1 风险定义
风险是指面临潜在损失或危害的可能性。在商业领域,这与组织的盈利因素相关。每个组织都应意识到潜在风险,并学会做出有效的决策来应对。
风险由三个要素组成:威胁、影响(资产价值)和漏洞。如果缺少其中任何一个要素,风险就不存在。
| 风险要素 | 定义 |
|---|---|
| 威胁 | 指某人或某物有意对你造成伤害或破坏你资产的情况。威胁可以是明确的,如黑客试图获取客户的信用卡信息;也可以是隐晦的,如外国情报机构试图获取机密信息。不同组织面临的威胁各不相同,取决于组织的使命、使用的信息和所处的行业。 |
| 影响 | 攻击对组织的影响与被攻击资产的价值直接相关。例如,攻击者获取公共信息可能不会对组织造成负面影响,但获取新产品线的专有研发信息则会产生直接的负面影响。组织应根据资产价值来考虑 |
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
