信息安全三要素(安全全要素管理)

看到这些糟糕透顶的信息安全事件和隐私泄露变得如此稀松平常，真是令人沮丧不已。让我们来特别关注一下下面这四起事件：

随着更多细节被公布，索尼被黑事件持续发酵。某急诊室护士使用病人信用卡。研究医院由于作业简单处理造成中西部妇女医疗中心病历泄露。加拿大多伦多道明银行外包供应商遗失两卷包含约26万客户数据的备份磁带。

类似上面这样的事件数不胜数。这些事件，以及其他大多数的信息安全事件，也许本可以避免，如果存在一个建立在以下三个主要核心元素的有效信息安全和隐私管理规程的话：

一、风险管理

作为广泛风险管理计划的一部分，如果对上面的这四个案例做一下风险评估的话，每个案例都将会发现重大风险。这里仅就上面每个相应的案例，举一例说明在数据泄露前就应该识别并可以降低的风险：

除了部署入侵检测和防御系统，索尼应该在其网络中发生远程访问的地方发现漏洞，并建立更强的控制机制。急诊室应当对工作人员实施数字监控，并且当工作人员对病人行窃时，要通过现场审计和背景调查来帮助识别。研究医院设施作业风险评估应该可以诊断出对打印病历的处理过于简单。如果TD银行建立了供应商安全和隐私规程监督管理程序，对于供应商在作业中的任何松懈都可以抓个正着。

二、策略和流程

如果每个案例都将策略和流程形成文档的话，将为所有工作人员建立参考，用以查看在整个企业正常工作活动中是什么会对信息提供有效和持续的保护，并且也将建立员工需要熟知的要求和职责。这里仅就上面每个相应的案例，举一例说明在数据泄露前就应该识别并可以降低的风险：

索尼应当建立文档策略和支持流程，不允许在数据文件中明文存储用户ID和密码。（鬼知道他们为什么会做出这种可怕的高风险行为！？）急诊室应当实施相关策略，确保病人的所有贵重物品都放在工作人员无法接触的储物柜里。研究医院应当有策略和规程，对要处理的包含机密信息的所有文档进行彻底粉碎。道明银行应当有相关策略，要求所有备份磁带在提供给供应商之前进行加密存储。

三、教育培训

索尼应当为所有人员提供信息安全和隐私培训，并定期、频繁地向所有人员发送提醒，提醒他们保护好所有类型的关键任务和有价值的知识产权，防止不当释放。急诊室应当为所有人员提供信息安全和隐私培训，并定期、频繁地向所有人员发送提醒，提醒他们保护好患者信息，了解其他人正在对病人财产做什么，以及如何报告可疑活动。研究医院应当为处理任何形式信息的所有人员提供安全处理培训，并定期、频繁地向所有人员发送提醒，提醒他们在丢弃带有敏感信息的任何类型媒体前要进行彻底销毁。道明银行应当确保其供应商和其他外包实体为他们的所有人员提供信息安全和隐私培训，并确保他们定期、频繁地提醒他们的所有人员，如何保完客户委托给他们的信息。

不论什么规模的组织，这都是保障有效信息安全管理需要遵守的底线。

【除了许多名符其实的大组织，这些年来，我一直在和数以百计的中小企业进行合作。我见过大部分的中小组织在很多情况下都不只是完全省略了这三个核心要素中的一个，甚至是两个。】

任何类型、任何规模的组织，都需要围绕这三个核心要素建立自己的信息安全和隐私规程：

如果不这样的话，那就是致潜在重大乃至可能致命的信息安全事件和隐私泄露于不顾。