管理控制

1、安全计划


安全计划包含为公司提供全面保护和长远安全策略所需的所有条款。

2、信息资产分级


确定信息资产分级方案,根据数据的用途、数据的价值、数据泄露可能导致的损失级别、恢复数据的成本等参数划分信息资产敏感级别。

一般商业公司的信息敏感级别由高到低为:

  • 机密
  • 隐私
  • 敏感
  • 公开

3、人员控制


  • 招聘时员工背景调查
  • 在职期间防范内部人员外泄敏感信息、误操作引起的损失等
  • 解聘相关账号注销

4、安全培训


企业安全培训一般分为高层培训、IT部门培训和普通员工培训三类。

  • 高层培训:主要是确定组织安全需求、得到高层在安全工作中的支持
  • IT部门培训:针对安全开发、安全运营等开展的安全培训
  • 普通员工培训:一般就是安全意识的培训

5、业务持续性管理(BCM)


BCM是整体的管理框架,提供足够有效的能力以保障组织关键利益相关者的利益,包含BCP和DRP。

5.1 业务连续性计划(BCP)

业务连续性计划是机构信息系统安全项目(Security Program)的一部分,其目的是在中断事件发生时通过以下措施为机构提供解决方法:

  • 采取及时和恰当的应急响应
  • 保护生命安全
  • 减少业务影响
  • 恢复关键业务功能
  • 在恢复期间与外部厂商和伙伴合作
  • 在危险期间减少混乱
  • 确保业务存活
  • 在灾难后快速恢复

5.2 灾难恢复计划(DRP)

灾难恢复的目标是降低灾难或者中断所带来的影响,当灾难来临时恰当的处理灾难及其灾难性的后果,通常灾难恢复计划关注于IT层面。 灾难恢复是在所有事情处于紧急状态时执行的。