1 / 52

Security and Personnel

Security and Personnel. 指導老師:徐立群 學生:周財榕 許凱甯. 大綱. The Security Function Within an Organization ’ s Structure Staffing the Security Function Credentials of information Security Professionals. 1. The Security Function Within an Organization ’ s Structure.

mandek
Download Presentation

Security and Personnel

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Security and Personnel 指導老師:徐立群 學生:周財榕 許凱甯

  2. 大綱 • The Security Function Within an Organization’s Structure • Staffing the Security Function • Credentials of information Security Professionals

  3. 1. The Security Function Within an Organization’s Structure • Security Function主要有以下幾類: • IT function • Physical security function • Administrative services function • Insurance and risk management function • Legal department

  4. The Security Function Within an Organization’s Structure • 組織在設計security function的結構時,其最大的挑戰在於如何去平衡各個群體的需求 • 因此,組織必須藉由IT function去找出最佳的方案,進而找出最適合的平衡點

  5. 2. Staffing the Security Function • 主要有以下幾個議題: • Qualifications and Requirements • Entry into the Security Profession • Information Security Positions

  6. Qualifications and Requirements • 組織通常會希望具有以下認知的人員: • How an organization operates at all levels • That information security is usually a management problem and is seldom an exclusively technical problem • How to protect the organization from information security attacks • Most mainstream IT technologies • The threats facing an organization and how these threats can become attacks

  7. Entry into the Security Profession • 主要有以下幾種方式: • 過去曾經擔任過(資訊方面)執法的軍警人員 • 具有資訊科技專業知識的人員 • 相關科系的畢業生

  8. Information Security Positions CISO Security consultant Security administrator Security manager Security officer Security technician

  9. CISO • 工作內容: • Manages the overall information security program for the organization • Drafts or approves information security policies • Develops information security budgets • Acts as the spokesperson for the security team

  10. CISO • 資格及需求: • 具有CISSP的證照 • 具有規劃、策略及編製預算的經驗 • 有相關領域的畢業學歷 • 有些公司會特別希望具有執法經驗的軍警人員

  11. Security Manager • 工作內容: • 進行每日的資訊安全操作 • 執行CISO的資訊安全策略 • 領導 security technician • 專案小組的組長或是領導人

  12. Security Manager • 資格及需求: • 不一定要具有CISSP • 具有GIAC • 具有執行中階或是基層策略的能力 • 具有編製預算、雇用、解雇人員的經驗 • 能夠有效管理資訊技術

  13. Security Technician • 工作內容: • 執行日行性的安全工作 • 進行一些資訊工作,如安裝防火牆、診斷並解決問題 • 與系統及網路主管進行協調,進而確保資訊安全策略的執行

  14. Security Technician • 資格及需求: • 會因時間的經過而改變 • 具有專業知識 • 能時時自我更新知識 • 經常復習故有技術

  15. Security Consultant • 通常具有以下特性: • 通常是某方面的專家 • 多為公司的型態,少有個人式 • 能有效解決問題 • 出現在公司無法自行解決問題時 • 具有廣泛的實務經驗 • 能有效規劃執行策略

  16. 3. Credentials of information Security Professionals • 有以下幾個議題: • CISSP and SSCP • GIAC • SCP • TICSA and TICSE • CISA • Related Certifications • Cost of being Certified • Advice for information security professionals

  17. CISSP and SSCP • 由國際資訊系統安全認證協會{ISC}2 所頒發 • {ISC}2 成立於1989年,總部設立於北美,定位為獨立、非營利的組織,經營目標在於發展與管理一個資訊安全管理人員的認證架構

  18. CISSP • 涵蓋的專業領域範圍十分廣泛 • 要求應試者資格,必須具備3~5年的資訊工作經驗 • 要通過CISSP十分不易。根據調查,截至2003年,全球獲得CISSP認證人數約莫3、4千人之譜

  19. CISSP • 考試範圍 : • 存取控制系統與方法論 • 應用與系統發展 • 企業持續性經營計畫 • 密碼學 • 法律、調查與規範 • 操作安全 • 實體環境安全 • 安全架構與模組 • 安全管理執行 • 通訊、網路、與網際網路安全

  20. SSCP • 也是由 {ISC}2所舉辦的考試 • 目的是填補安全性從業者和安全性知識大師之間的認證空白 • 它的考試內容只有 CISSP 的一半,但難度也相當高 • SSCP 資訊系統安全性考試包含 CISSP 考試所覆蓋的 10 個 CBK 領域中的 7 個

  21. SSCP • 考試範圍: • 存取控制 • 管理實作 • 稽核監控 • 風險、回應、與復原 • 密碼學 • 資料通訊 • 惡意程式碼及軟體

  22. 全方位資訊安全專家認証 - GIAC • 領域範圍(共11種,列舉7項): • GSEC; 基本安全認証 • GCFW; 防火牆分析員認証 • GCIA; 入侵分析員認証 • GCIH; 事件處理員認証 • GCWN; Windows 安全管理員認証 • GCUX; UNIX 安全管理員認証 • GISO - Basic; 資訊安全專員基本認証

  23. Security Certified Professional • SCP主要分為以下兩種: • SCNP (Security Certified Network Professional) • SCNA (Security Certified Network Architect) • 其主要是著重於資訊安全的部份,不同於MCSE著重於網路實作的部份

  24. TICSA and TICSE • TruSecure 是一家長期致力於提供第一流的基於安全性認證服務和產品認證服務的公司 • 與 CISSP 和 SSCP 考試相似,TICSA 是由大約 70 道多選題構成的考試 • TruSecure 聲稱將發佈自己的 CISSP 級別認證,稱為 TICSE(“E”代表“專家(Expert)”),它將證明安全性從業人員掌握了安全性主題

  25. TICSA and TICSE • 優點: • 通向 CISSP 認證的墊腳石 • 比CISSP考試還要容易通過 • 證照維持: • 每張證書的有效期都是兩年 • 同一級別上的更新需要證書持有人提交更新申請和適當的費用 • 需要繼續教育的證明 • 必須重申以前同意的道德規範聲明

  26. 電腦稽核師 - CISA • 目的: • 評估稽核人員執行電腦稽核的能力 • 提供適當的管道以鼓勵並維持從事電腦稽核人員之專業能力 • 協助企業高階主管發展電腦稽核功能,甄選電腦稽核人才

  27. CISA • 考試資格: • 必須有5年以上的電腦稽核經驗,唯大學120個教育學分可抵2年的電腦稽核經驗,大學60個教育學分可抵1年的電腦稽核經驗,從事稽核、資料處理1年經驗可抵1年的電腦稽核經驗 • 所有的工作經驗必須在考試日前10年內獲得 • 申請人在通過考試後5年內必須取得上述經驗 • 所有的工作經驗必須由僱主確認 • 申請人必須遵守職業道德

  28. CISA • 考試之內容及比重如下: • 資訊系統稽核標準及資訊系統安全與控制 8% • 資訊系統組織及管理 15% • 資訊系統處理過程 22% • 資訊系統完整性、機密性、可用性 29% • 資訊系統發展、取得及維護 26%

  29. CISA • 內部稽核人員取得電腦稽核師資格有下列優點: • 顯示內部稽核人員增進其在資訊科技知識之意願 • 可學習到資訊系統稽核技術以應用於內部稽核工作 • 從電稽核師考試的準備、訓練及測試過程中可瞭解內部稽核人員應加強之地方

  30. CISA • 執照之維持 : • 每年完成至少20個小時之教育學分 • 每3年完成至少120個小時之教育學分 • 遵守ISACA職業道德標準 • 每年支付CISA維持費(US$50)

  31. Related Certifications • 可從以下的管道中進行了解: • Cisco systems • Entrust • Microsoft • Sun Corporation • Symantec

  32. Cost of being Certified • 考試費用: 越好的認證,費用越高 • 訓練費用: 某些考試具有相當的難度,即使是具有專 業知識的人員,亦需投入許多成本 • 投入的時間成本

  33. Advice for information security professionals • 先有企業需求,才有技術問題 • 資訊人員的主要工作是保護組織的資訊安全 • 有幾分實力說幾分話,讓自己更具技術 • 要與使用者多多互動 • 要時常更新自己的技術

  34. 壹、學習目標 一、了解組織的員工僱用政策如何影響其資訊安全工作。 二、了解對於非聘僱人員所需之特殊資訊安全預防措施。 三、了解職能分工的必要。 四、了解關於個人機密資料所需的措施。

  35. 貳、員工僱用政策及相關措施 • 最高管理階層應將具體的資訊安全概念融入員工聘僱政策及措施中。 • 組織中每位員工的工作責任說明書中,都已包含了安全的相關說明,則資訊安全將會被更加的重視。

  36. 貳、員工僱用政策及相關措施 • 人員僱用與解任 : • 工作敘述: • 面試 • 背景調查 • 聘雇契約 • 新進人員的適應 • 在職安全訓練 • 績效評估 • 離職

  37. 貳、員工僱用政策及相關措施~人員僱用與解任貳、員工僱用政策及相關措施~人員僱用與解任 從資訊安全的角度來看,人員的僱用充滿了潛在安全陷阱。

  38. 貳、員工僱用政策及相關措施~工作敘述 為避免應試者因為其職位可以接近某些敏感資料而謀求該等職位,組織在介紹職務及相關義務與權利時,不應將這種可以接近機密資料的特權預先透漏給該應試者知道。

  39. 貳、員工僱用政策及相關措施~面試 在帶領應試者餐關組織時,也應避免帶到機密或是限制出入的區域。要不然,這些應試者將會取得有關組織在營運、資安上相關資訊,而對組織形成威脅。

  40. 貳、員工僱用政策及相關措施~面試 組織再對應試者受與職位之前,應先做一背景調查。 下列條列一些背景調查的項目: • Identity Check • Education & Credential Check • Previous Employment Verification • Reference Check • Worker’s Compensation History • Motor Vehicle Records • Drug History • Credit History • Civil Court History • Criminal Court History

  41. 貳、員工僱用政策及相關措施~聘雇契約 聘雇契約成一重要的安全工具。

  42. 貳、員工僱用政策及相關措施~新進人員的適應貳、員工僱用政策及相關措施~新進人員的適應 當職員做好準備開始上工後,他們必須完全透測的了解他們職務上必備的安全要素,包含所有的權利及義務。

  43. 貳、員工僱用政策及相關措施~在職安全訓練 組織必須定期的舉辦員工在職安全訓練,讓員工時時刻刻在心中想到「安全」。

  44. 貳、員工僱用政策及相關措施~績效評估 組織須將資訊安全要速與績效衡量加以結合。

  45. 貳、員工僱用政策及相關措施~離職 當一名員工準備離開組織,就必須執行下列程序: • 不准該員再進入其所可進入的系統。 • 歸還可攜帶的電腦。 • 保護硬體。 • 更換檔案櫃的鎖。 • 更換辦公室的鎖。 • 該員的通行磁卡必須取消。 許多組織使用「Exit Interview」,提醒員工合約上的義務,例如不得洩漏組織機密等協定。員工也須想到,一但違反這些協定,將會有相關的民事及刑事上的責任。

  46. 参、非聘僱人員的安全考量 • 臨時僱傭(Temporary Employees) • 簽約雇員(Contract Employees) • 諮詢、顧問(Consultants) • 企業合夥 (Business Partners)

  47. 参、非聘僱人員的安全考量~臨時僱傭 • 組織因為臨時性的職位或是為了支援現存的勞動力而僱用臨時員工。 • 這些臨時職員經常執行許多祕書的或是行政上的工作,也因此會取得大量的資訊。 • 由於他們並非受僱於該組織,他們就不像正式職員一般受到合約義務或是管理政策的約束。 • 臨時人員可以為組織帶來極大的效益,但不應以犧牲資訊安全作為該效益的成本。

  48. 参、非聘僱人員的安全考量~簽約雇員 • 組織通常僱用簽約雇員執行某種職務。 • 他們通常不大需要接近資訊。除非公司將電腦系統外包,簽訂系統回復契約。 • 當這類人員要進行維護、修復等工作時,第一步就是要確定組織確實有排定或是要求這類工作。

  49. 参、非聘僱人員的安全考量~諮詢、顧問 這些顧問在跟組織的合約終止後,也許會要求公司同意,將他在組織中的工作表現、紀錄、檔案…等作為個人的履歷經歷,讓他以後再與其他組織簽訂類似的契約時,有較好的競爭力。但組織沒有義務去同意,並且可以很堅決的Say No。

  50. 参、非聘僱人員的安全考量~企業合夥 • 雙方必須事先訂定一企業間的協議,說明雙方所能彼此透露、交流的資訊等級。 • 當策略聯盟涉及到彼此間系統的整合時,雙方競業部門間所交流的資訊也許就不是雙方原先所預期的。 • 最重要的是,當實體整合發生前,一定要先對雙方的安全層級加以檢驗。

More Related