信息安全 - 人员安全与安全意识培训

在所有的安全解决方案中，人都是最脆弱的一环，因为人可以找到方法绕过所有的安全控制措施。为了应用安全治理，就必须利用策略/程序和安全意识培训来加强这个安全链路中最薄弱的环节。

一、人员安全策略和程序

1. 招聘前

招聘前需要为岗位创建职责描述，以便确保组织内部就招聘哪类人才达成一致。职责描述要定义分配给员工的角色和任务，以及该职位需要访问的资源类型和范围。

在拟定职责描述时，需要考虑如下重要安全原则

1）职责分离 - separation of duties: 将关键的、敏感的工作任务分割给多个操作人员。它是最小特权的一个应用，也是为了预防欺诈。

2）岗位轮换 - job rotation：在多个工作岗位之间轮换员工。提供一种同级审计形式，预防欺诈和滥用职权。

2. 招聘中

候选人筛选：可以通过背景调查、推荐信调查、学历验证和安全调查验证来筛选值得信任的候选人。

雇佣协议中还可包含 NDA(保密协议-防止离职员工泄漏组织机密信息) 和NCA(竞业协议-组织了解组织秘密的员工加入竞争对手公司)

3. 招聘后

入职程序：1-在组织的IAM中添加新员工，请参考访问控制单元中的第八节-新用户证明与注册。2-为员工提供入职培训。

离职程序：员工离开后，需将其身份从IAM中删除，包括取消或删除账号与权限，不再允许进入办公大楼。通过离职面谈来基于保密协议/竞业协议等对前雇员的责任和限制进行审查。

如果员工是被解雇，需要通过尊重的态度来处理解雇流程

       1）终止合同时有至少一名证人在场。

        2）解雇通知时，回收组织的身份标识、访问权限，密钥，令牌。

        3）通知完成后，护送员工离开办公场地。

4. 针对供应商的协议和控制

SLR-服务级别要求: 是招标阶段对供应商产品和服务的性能期望声明

SLA-服务级别协议：是用来确定外部供应商提供的服务、人员的服务水平。它可以包括具体的服务KPI约定以及无法维持协议规定情况下的赔偿措施。 常见的内容有：系统正常运行时间占比，最长连续停机时间，最大负载/平均负载， 故障诊断职责，故障切换时间等。

二、安全意识培训

    应该改变用户行为，才能很好支持安全解决方案的实施。这就要求组织为内部员工提供一定程度的学习支持，包括安全意识，培训和教育。

    应该采取周期性内容评审方式，定期对意识，培训和教育恰当程度和内容相关性进行评估。

            1. 安全意识： 

                目的：得到用户对安全放在首位的认可，帮助认识到自身的安全责任和义务

                对象：组织内所有员工

                方式：可以是课堂学习，在线学习，或者通过组织的讲话，公告，演讲，办公用品宣传等

            2. 培训：

                目的： 教导员工执行他们的工作任务时遵守安全策略

                对象：具有类似工作职能的员工群体（HR，开发工程师，新员工）

                培训需要持续进行。

            3. 教育：

            目的：参加认证，培养个人成为安全专家

            方式：通常有外部机构提供

---

参考资料：

CISSP Official Study Guide - 第九版英文版 及 第八版中文版