今天在GOOGLE GROUPS 上看到有人讨论有关"trust" a good information security control?信息算不算一个控制措施的问题,觉得这个问题不算,所有引用过来。 |
如果有从事过有关ISMS体系实施的经验,有一个问题一定会绕不开,就是要给用户大多的权限,特别是要不要控制INTERNET、EMAIL、QQ/MSN等IM 具以及USB接口等。 |
在我审核的时候,很多企业都会提出一个问题: |
我们是一个开放的文化,我们充分“信任”我们的员工,如果我们不“信任”我们的员工,或者员工就存心想做某些事情,就算我们封了INTERNET \USB,他一定会找到某些漏洞。所以我们只能“信任”我们的员工。 |
如同我在GOOGLE GROUPS上看到的一样,一般情形下,不接受“信任”作为一个有效的控制措施,更多的是视为没有采取控制措施的一个借口。 |
GOOGLE GROUPS 上有人提出的一个观点我比较同意, 控制措施可以分为“预防措施、纠正措施、检测措施”。如果把“信任”视为一个控制措施,那么应该视为“预防措施”。 |
ISMS体系要求对措施的有效性进行测量,“信任”作为一个“预防措施”,应该对其有效性进行测量,比如对INTERNET 连接通过监控系统进行测量,以验证”信任“措施是否正的有效。 |