×

扫描二维码登录本站

标签: 暂无标签
“信任”是否是一个有效的控制措施?
今天在GOOGLE GROUPS 上看到有人讨论有关"trust" a good information security control?信息算不算一个控制措施的问题,觉得这个问题不算,所有引用过来。
如果有从事过有关ISMS体系实施的经验,有一个问题一定会绕不开,就是要给用户大多的权限,特别是要不要控制INTERNET、EMAIL、QQ/MSN等IM 具以及USB接口等。
在我审核的时候,很多企业都会提出一个问题:
我们是一个开放的文化,我们充分“信任”我们的员工,如果我们不“信任”我们的员工,或者员工就存心想做某些事情,就算我们封了INTERNET \USB,他一定会找到某些漏洞。所以我们只能“信任”我们的员工。
如同我在GOOGLE GROUPS上看到的一样,一般情形下,不接受“信任”作为一个有效的控制措施,更多的是视为没有采取控制措施的一个借口。
GOOGLE GROUPS 上有人提出的一个观点我比较同意, 控制措施可以分为“预防措施、纠正措施、检测措施”。如果把“信任”视为一个控制措施,那么应该视为“预防措施”。
ISMS体系要求对措施的有效性进行测量,“信任”作为一个“预防措施”,应该对其有效性进行测量,比如对INTERNET 连接通过监控系统进行测量,以验证”信任“措施是否正的有效。




上一篇:11 月份的信息安全事件 (2) - 计算机与软件资格考试卷丢失
下一篇:ISMS实施过程常见困惑与应对
salala

写了 314 篇文章,拥有财富 1696,被 3 人关注

您需要登录后才可以回帖 登录 | 立即注册
B Color Link Quote Code Smilies

成为第一个吐槽的人

Powered by ITIL  © 2001-2025
返回顶部