访谈及安全意识评估我们参考采用美国卡耐基·梅隆大学开发的OCT***E评估方法进行。OCT***E方法着眼于组织自身并识别出组织所需保护的对象,明确它为什么存在风险,然后开发出技术与实践相结合的解决方案。
l 准备工作:
n 明确所有必要的信息
n 确定那些是已有的信息
n 编写收集短缺信息的调查提纲
n 针对被访人组织访谈提纲
n 避免提无用的问题
n 用客户的名词术语
l 访谈:
n 做访谈记录
n 注意听并促使被访人多谈
n 允许被访人在计划的面谈提纲基础上扩大范围
n 重视关键用户的意见
参考OCT***E评估方法的访谈过程,我们将对客户高层、经理层、IT员工、员工进行访谈并评估其安全意识。全面了解企业员工在安全认识上存在的风险。明确客户各层次员工对于企业重要资产的认识,对资产如何受到威胁的了解,以及资产的安全需求,现在已经采取的保护措施以及其它和保护该资产相关的问题。
|
对象 |
人次 |
方法 |
目标 |
|
二级经理 |
1人次 |
直接面谈法 |
明确高级管理层的安全意识,以及对客户重要资产的认识,对资产如何受到威胁的了解,以及资产的安全需求,现在已经采取得保护措施以及和保护该资产相关的问题。 |
|
三级经理层 |
经理1人次 |
直接面谈法 |
明确执行经理层的安全意识,对客户重要资产的认识,对资产如何受到威胁的了解,以及资产的安全需求,现在已经采取得保护措施以及和保护该资产相关的问题。 |
|
业务经理1人次 |
|
IT员工 |
原则上每位直接负责一或多个信息系统的员工都要面谈 |
直接面谈法或集体访谈法 |
明确IT员工的安全意识,对客户重要资产的认识,对资产如何受到威胁的了解,以及资产的安全需求,现在已经采取得保护措施以及和保护该资产相关的问题。 |
|
普通员工 |
一或多人次 |
针对员工代表的直接面谈或者针对代表小组的集体访谈 |
明确普通员工的安全意识,对客户重要资产的认识,对资产如何受到威胁的了解,以及资产的安全需求,现在已经采取得保护措施以及和保护该资产相关的问题。 |
|
安全意识和培训 |
|
机构成员对他们的安全角色和职责的理解。记录和验证。 |
|
|
有足够多的为服务、机制和技术(例如日志、监视或加密)设置的内部专家,包括他们的安全操作。记录和验证。 |
|
|
为所有职员提供的安全意识、培训和周期性提醒。 |
|
|
安全策略 |
|
机构的业务策略与安全考虑相结合。 |
|
|
安全策略和方针考虑到机构的业务策略和目标。 |
|
|
安全策略、目的、目标被核实和回顾、更新,以及与机构进行沟通。 |
|
|
安全管理 |
|
管理层为信息安全行为分配足够的资金和资源。 |
|
|
为机构中的所有职员定义安全角色和职责。 |
|
|
机构对员工的雇用和解雇行为考虑到信息安全问题。 |
|
|
机构管理信息安全风险,包括:
对信息安全的风险评估
采取步骤降低信息安全风险 |
|
|
管理层收到和遵照例行报告总结安全相关信息(例如,审计、日志、风险和漏洞评估) |
|
|
安全方针和规则 |
|
机构有一系列完整记录的、目前被周期性回顾和更新的方针。 |
|
|
安全方针管理的过程,包括:
创建
管理(包括周期性回顾和更新)
通信 |
|
|
机构有 |
| [ 阅读全文 | 回复(0) | 引用通告 | 编辑 | 收藏该日志 ] |
Post by eeagel 发表于 2009/4/15 10:03:00
|
发表评论:
