新版ISO27001:2022认证职责分离的意义
发布时间: 2022-02-25 15:03 点击:
新版ISO27001:2022认证职责分离的意义
在《自由与权力》一书中,阿克顿说:“权力导致腐败,绝对权力绝对地导致腐败”。这一观点在信息安全管理体系中同样适用,分配给员工过多的权限会增加内部威胁分子攻击的风险。怀有恶意的员工可能会窃取客户的个人或重要数据用于营利;心怀不满的员工可能会主动地向竞争对手泄露组织的战略计划或重要数据,或受到收买故意损坏组织的信息资产。
如果所有的员工都忠诚可信,组织就不用再担心来自员工的主动、恶意的攻击,但内部的威胁依然没有消失。安全意识薄弱的员工有时会无意地违反规则,例如不安全地共享文件、不安全地使用无线网络、将信息发布到讨论板和博客、打补丁不当、忽视安全策略、通过电子邮件和即时通讯(IM)泄露公司数据等,给企业带来潜在的威胁。
为了应对这些威胁,组织需要控制授予其员工的权限,尤其是那些组合之后会使员工具有进行欺诈行为能力的组合。授予权限是为了让员工履行职责的必要条件,如果我们不希望员工取得某些权限的组合,就意味着这名员工不可能履行某些职责的组合。反过来,我们也可以利用这种权限和职责间的关系。如果我们能够主动分离某些职责的组合,我们就可以避免必须授予员工我们不希望他们获得的权限,即通过职责分离实现权限分离。
为了能够更好地表述这种分离,我们做出以下定义:
互斥权限——任意两个不相同的权限如果同时授予一个员工,使员工具有足够权力可以独立进行欺诈行为,则将这两个权限称为互斥权限。
冲突职责——对于任意两个互不相同的职责,如果其中一个职责的某一权限与另一个职责的某一权限互斥,则这两个职责称为冲突职责。
互斥角色——对于任意两个互不相同的角色,如果其中一个角色的某一职责与另一个角色的某一职责冲突,则这两个角色称为互斥角色。
ISO认证咨询服务网 www.cnqr.org
1998年至今 ISO认证/企业资质服务 直办非中介 全国接单 远程或就近安排审核
诚聘专兼职ISO审核员(全国/符合条件可免费定向培养)、专职认证管理人员、市场精英。