網路城邦
上一篇 回創作列表 下一篇   字體:
資訊安全:Employment Policies
2009/10/26 17:18:31瀏覽1122|回應0|推薦0
Employment Policies
employment policies 的首要重點在於釐清每一位員工的 job description/function,據此才能知道如何為其配置適當的資安防護機制,以避免該名員工濫用職權去取得不該取得的資訊或資源。

Security Management for Employees

Separation of Duties
separation of duties 是指:「執行任務與稽核成果的兩種角色,必須分派給不同的人去扮演,不可一人兼飾兩角」。講得白話一點,就是球員不可兼任裁判,記帳的人不可兼任查帳的人,以避免發生造假或護短、侵吞或掏空資產等情事。

Least Privilege
對於每一位員工,皆給予最少且恰好足夠完成其 job functions 的權限,如此為之可避免公司員工在正常的作業活動下去取得不該取得的資訊或資源。

Job Rotation
把某員工調到其它的部門、或是讓員工在同一部門裡扮演不一樣的角色。例如,將某位工程師由研發部調到客戶服務部,或是讓會計部門裡的每位員工輪流擔任會計部門的主管。實施 job ratation 之後可享有的優點為:

creating knowledge redundancy
有人可當候補,可降低業務癱瘓或生產力損失的風險。

limiting privilege
因為某人在某個職位上的任職時間越長,通常其所獲得的權限也會越來越多、越來越大;工作輪調可以降低某人取得過多權限的風險。

peer auditing
由於其它的同儕也瞭解該職務的工作內容,所以當政者比較不敢或沒有機會胡搞。

Mandatory Vacation
強制員工休息一定時程的假,並派人暫時接掌其勤務,期間即可檢視該名休假員工是否有濫用職權以行舞弊造假之情事。如果英國的 Barings Bank 當初有強迫 Nick Leeson 做一個或兩個禮拜的休假,並派人暫時接掌其勤務,就很有可能可以及早發現問題,進而免除破產的危機。
( 創作其他 )
推薦文章 列印 加入我的文摘
上一篇 回創作列表 下一篇

引用
引用網址:https://classic-blog.udn.com/article/trackback.jsp?uid=chungchia&aid=3439385