斯蒂芬·珀迪
发表在2003年3月的问题今天的设施经理
W当考虑信息安全帽子想到?
- 这是保护计算机信息指定为敏感吗?
- 也许是防止未经授权的访问网络。
- 分解敏感文件还是控制过度的副本的性格在复印机吗?
- 它是有一个屏幕保护程序之前设置了一个30分钟的静止期激活吗?
- 它包括音的房间所以重要会议的讨论不能听到隔壁房间里吗?
- 它是保护人事档案,确保隐私机密的员工信息吗?
所有这些问题和实践的答案是“是的。“然而,真正的问题是信息安全的责任是如何管理跨多个部门和场馆内的公司。
在fms可以开始分配责任之前,他们需要有一个清晰的理解基本的信息安全的概念。抽象的信息,需要保护这些信息,如果妥协,可能导致企业责任或不可挽回的损害公司的收入的收入潜力。作为一个例子,一个公司的对手可以使用敏感的财务信息来实现竞争优势。或者,属于信息安全系统和安全程序,建筑图或蓝图,甚至基础设施支持(电气、暖通空调、网络图等)可以利用影响操作完整性、员工安全、安全的企业资产,和业务连续性。敏感信息需要保护可能包含在印刷或硬拷贝文件,和/或在一个自动化的环境。
作为一个商业问题,信息安全通常属于安全的范围,它(信息技术),MIS(管理信息系统)部门,或这些领域的结合。然而,这些安全措施影响整个组织,包括调频。
定义信息安全的使命
每个部门使用和控制信息在硬拷贝(物理)和电子形式。这些信息需要不同层次的保护。识别至关重要的信息需要保护。是同样重要的是确定适当的临界水平的信息控制可以实现。这些控件应该符合法律要求中列出各种法律法规相关的各个行业,机构或企业实体。
在相关法律法规(美国法典》第18编(USC),部分2701),定义概念的机密和专有信息。这些规范包括要求他们的保护和列举了信息所以行政或司法救济如果发现未经授权的访问或妥协。
同时,为政府机构和承包商,分类的概念,非机密和非保密的敏感信息定义在一个联邦法规。有具体要求操作安全控制。
法律规范消费者隐私,比如金融隐私法,公平信用报告法》等,定义什么样的信息需要特殊保护。监管信息不需要由电脑控制的。许多人力资源或人事部门人事档案在硬拷贝形式存储在文件柜。隐私法识别某些医疗人员信息保密,需要企业限制访问这些信息。
重要的统计数据
计算机安全研究所(CSI)每年进行计算机犯罪和安全调查。“基于响应从538年计算机安全从业者在美国企业,政府机构、金融机构、医疗机构、院校,2001年计算机犯罪和安全调查的结果证实了计算机犯罪和其他信息安全漏洞的威胁有增无减,金融人数越来越多。”
2001年计算机犯罪和安全调查的包括:
- 85%的受访者(主要是大公司和政府机构)检测到计算机安全漏洞在过去12个月。
- 由于计算机漏洞64%承认金融损失。
- 35%(186人)都愿意和/或能够量化他们的财务损失。这186个受访者表示377828700美元的经济损失。(相比之下,从2000年的249名受访者损失总计只有265589940美元。前三年平均年度总在2000年是120240180美元。)
在前几年,最严重的财务损失发生盗窃的专有信息(34受访者表示151230100美元)和金融欺诈(21个受访者报告了92935500美元)。
调频责任
Fms可以做出重大贡献的实现企业责任保护专有信息通过实施控制,提高业主的努力的提供所需的信息安全。在最近的一次国际设施管理协会(IFMA)调查中,大部分的fms觉得员工的安全是一个高优先级的设施。
这是一个适合fms涉及安全的各个方面。处理各种各样的信息安全措施的fms一样广泛的信息本身的性质。然而,控制一般分为三类:1)政策和程序,物理控制,2)和3)信息技术控制。
样本影响信息安全控制
1。政策和程序
- 定义信息保护及其水平的敏感性。
- 开发一个企业文档的破坏和分解政策伴随程序(例如,文档分解承包商和分布式分解的容器专有的文档)。
- 制定安全操作规程。
- 开发或导致员工安全意识培训。
- 开发具体要求标记和传播公司专利和商业秘密的信息。
- 制定政策对员工职责不创建未经授权的复制和传播专有的,机密或限制敏感信息。
2。物理控制
- 建立访问硬周边设施应当验明正身的所有人都必须经过出入境。利用访问控制技术、摄像机和报警传感器在所有周边接入点。
- 创建一个公共区域接待访客、交付商品皮卡,等等,与积极的访问控制,区域内部办公室或操作部分。
- 地方特别标记容器内的设施废弃的敏感文件的集合。定期记录销毁服务。
- 培训员工在日常垃圾丢弃只有无用的文件。
- 访问控制内部办公空间通过卡访问和关键控制系统。
- 避免为承包商提供一个主密钥(这包括合同清洁人员)。密钥管理策略应该包括专有键槽层次为办公室和房间供应。周边门键槽应该在一个安全的关键blank-rather比标准关键空白。
- 限制员工访问通过选择建筑入口控制。
- 定期进行居住设施定位会话。使用这些会议将重要的信息传递给员工或租户。
- 维护控制访问关键基础设施的房间(房间电气室、空调、电话、网络开关/路由器壁橱,等等)通过卡访问或严格的密钥管理系统。
- 提供可审计的访问控制,网络操作中心和技术支持或数据存储中心。建议使用摄像机记录的访问。
- 敏感地区企业提供可审计的访问控制文件,专利,商业机密,等等,都存储在物理形式。
- 提供可审计的访问控制人员,医疗和其他机密的员工或客户物理文档和记录存储区域。
- 限制建筑蓝图和地板计划只授权人员。要求未经授权的拷贝不生产和传播。要求副本返回当他们有他们的目的。
3所示。信息技术控制
- 授权使用屏幕保护程序在员工桌面和笔记本电脑系统分配给FM的员工。
- 库存的桌面软件和硬件。
- 关键数据存储在一个受保护的网络驱动器,定期备份网络运营恢复计划的一部分。
- 只需要授权指定电脑上使用的软件。
- 使用身份验证和安全访问用户要求远程访问FM信息。
- 提供信息技术壁橱授权人员。
发展战略
至关重要的是,组织形式化的过程开发一个信息安全策略和获得高级管理层的支持。不这样做,将资金并会见了徒劳的努力实现跨部门。最终的结果将是一个信息安全态势的强大只作为最薄弱的环节,这通常是减少物理安全措施。组织应该意识到全面的信息安全包括高科技(如防火墙、anti-ping设备和病毒保护)和低技术组件(例如访问控制和安全人员)。
下一个关键问题是定义必须得到保护。这有助于发展一个清晰的理解的使命。程序获得的信息可以单方面开发和采用。培训和员工意识程序可以开发一致的焦点。
重要的是涉及到各种各样的操作人员在最初的阶段,尤其是人力资源的人,人员和法律部门。他们将宝贵的指导建立信息安全性能和遵从性标准,可以在一个组织。显然,这不是一个任务,任何一个经理应该独自承担。输入从所有运营部门是至关重要的。
控制信息
每个人都处理各种各样的信息,应该考虑专有或机密,而不是用于公共流通。一般规则,如果fms不想在报纸上发布的信息,他们需要控制它的传播。
管理也见过所有的办公室垃圾袋装often-collections处理和垃圾集中收集在一个码头等待卡车。是无人看管的行李和经常对公司客户列表包含敏感信息,价格信息,供应商信息,销售预测,合并和收购备忘录、产品设计文档等。
所有这些信息应该通过分解程序控制。每个部门经理应该开发程序的识别和破坏敏感文件符合公司的政策指导。
Fms可以胶水将所有这些努力通过提供文档处理的支持。他们看到各种各样的问题和事件的企业功能。这种经历是非常宝贵的员工意识程序。调频内人员,程序也可以开发的风险降到最低暴露的信息应该从公共访问限制(地板的计划、蓝图,承包商计划,批准承包商名单,公司电话书籍,等等)。重大妥协的公司资源已经被人翻记录公司垃圾(这种做法称为垃圾站潜水)导致数千美元的损失。
员工已经知道偷办公设备(摄像机、计算器等)扔进垃圾桶的意图获取他们日后的帮助下(也许一个同伙拿垃圾的丢弃的物品)。在另一起案件中,一个电脑黑客翻找垃圾,从中挑出计算机打印输出和一个公司电话簿。
黑客开始把借口电话秘书“社会工程师”秘书到泄露内幕信息计算机网络,电话系统和关键员工。黑客使用的信息来发起拒绝服务攻击的计算机网络和工资war-dialing活动发现现代行可以帮助他或她渗透通过拨号网络维护港口。
除了废纸
记住,纸不是唯一的媒体通过信息交换。计算机磁盘,磁带,和丢弃的计算机硬盘通常含有公司信息。提供清理服务或信息指导用户和IT部门可以节省企业潜在的妥协。每台计算机系统代替应该检查以确保它不再包含敏感信息之前最后的性格。
访客日志,监控录像,卡访问日志和警报系统日志也很敏感,可以用来开发一个弱点在安全设施的报道。这些信息需要保护和访问限制为仅授权人员。
这些都是影响信息安全的一些措施。更可能有成百上千种总体安全或业务连续性计划的一部分。最好的方法之一fm可以有关于信息安全并不是被困成一个受限制的思维过程。创意,跳出框框思考大大有助于保持进步的调频领先和宝贵的企业资产。
实时讨论你的一些经验,来雷竞技app ios;本文评论,发送电子邮件tfm@groupc.com。
