论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 65 篇帖子 ]  前往页数 上一页  1, 2, 3, 4, 5  下一页
作者 内容
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-11 15:17 
离线
高级用户

注册: 2008-09-11 14:29
最近: 2012-09-06 10:17
拥有: 177.10 安全币

奖励: 2 安全币
在线: 1689 点
帖子: 275
应该是A吧,


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-11 15:21 
离线
中级用户

注册: 2008-04-17 21:11
最近: 2012-09-04 12:41
拥有: 579.90 安全币

奖励: 44 安全币
在线: 236 点
帖子: 63
Parol 写道:
哈哈,楼上朋友真是很认真。

但如果从这个角度来提呢,什么都不做就报告给管理层,信息安全主任是DUE CARE 尽责;采取有限措施再报告管理层,信息安全主任是DUE DILEGENCE 尽职。


呵呵,难得潜水多年发现有个贴可以说说,是说多了。

对问题进行数据收集、分析、制订方案、汇报领导,让领导决策也属于尽职的范畴,应该不仅仅只有做审计或其它的安全措施才算尽职吧!?(D先项显示了信息安全中心主任有做这些事哦~)


--------本帖迄今已累计获得7安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 09:09 
离线
版主

注册: 2007-02-24 17:41
最近: 2014-12-26 13:46
拥有: 7,252.90 安全币

奖励: 11840 安全币
在线: 4106 点
帖子: 497
地址: 广东深圳
striker 写道:
Parol 写道:
安全环境每天都在变化,今天有不同的人去实施职责分离,明天可能那个人就离职了或者休假了,难道就只靠这一个安全措施去针对敏感岗位的工作吗?难道就隔三岔五地去报告一次吗?请考虑一下现实环境。

管理层当然要求你这个CISO尽量在有限资源的条件下,为了达到某一个安全水平,采取足够的安全措施。

同意报告是必要的,但只等管理层调拨资源是不合理的。


第一,请认清此为考题,不实际情况。而且问题的字数就那么多,不可能所有都交代。还有此题应属选最佳答案,不是是非题。所以没必要去讨论资源是否能给或及时给,感觉你把你现实情况参到题里去了。

第二,当然也非常认同各位的想法,在实际环境中,如有问题如果不能一时半会解决就可以先上个补尝措施进行补尝。在做题时,如A能解决,B也能解决。A比B来的彻底,那你会选那个选项呢?

最后,管理层当然希望马儿跑不吃草,但请想想这对任何一名信息安全中心主任来说可能达到吗?领导交代的任务是要尽量去高效、高质量地去完成,但遇到超出自己范围以外的问题时,难道自己就埋头苦干了吗?更要命的是,干是干了,效果能保证让领导满意吗?出事后他们可不会以“没有功劳也有苦劳”来为这位信息安全中心主任开脱的。管理层只会说,“说让你干的”,“出问题为什么不报”?很明显“职现分离”这一问题就是超出信息安全中心主任权责范围外的事情,这就需要管理层来决定。信息安全中心主任已及时提出问题、后果分析及解决方案,但由于因领导的不作为/不及时造成的安全问题,那最起码作为信息安全中心主任在道理上是没有责任的。

问题的关键点就在这:“信息安全中心主任已及时提出问题、后果分析及解决方案”
从题干中分析这里面提到的风险只是信息安全中心主任就职责应该分离出发的,但具体的风险是什么?如果不处理的可能后果如何?解决方案的关键点是哪些?需要决策的内容是什么(即使同意增补人员,增补的人员做什么事情)?
还是那个问题,先需要详细了解问题本身,如果没有前面的措施,不找出实质或具体风险,仅通过上报是无济于事的。


--------本帖迄今已累计获得33安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 11:07 
离线
高级用户

注册: 2010-03-07 02:43
最近: 2015-07-14 15:19
拥有: 3,369.00 安全币

奖励: 222 安全币
在线: 1779 点
帖子: 237
仔细看了大家的观点,真的觉得很受启发,开阔了视野。也有朋友对题目提出了批评,说自相矛盾啊,或题目太绕等意见,但批评的理由我个人并不是太赞同,首先我们不是学哲学的,不断的去辩证,也没必要扣字眼,题目大概的意思就那么回事,还是专注题目本身的核心内容吧。发出这个题目,我的本意是希望根据各位同行的选项和支持该选项的观点来开阔自己的视野,丰富和不断更新自己的理论知识。


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 11:10 
离线
高级用户

注册: 2010-03-07 02:43
最近: 2015-07-14 15:19
拥有: 3,369.00 安全币

奖励: 222 安全币
在线: 1779 点
帖子: 237
striker 写道:
wyishen 写道:
从解决实际问题及实际的可操作性方面,可以选择A。至于审计现在已经有专业的系统,可以分离操作权限,这些不成问题。主要是把审计或超级管理员留在自己手上,操作人员只是作为普通用户。
买一台设备比请一个人容易多了。把什么都交给领导也不对,让你解决什么?


一、审计专业与否有替代人吗?如果可以,还有必要存在“职责分离”的要求吗?那就没必要讨论这道题了。
二、分离操作权限不等于“职责分离”,该做法有可能出现一个人有多个不同级别权限帐号的情况。单单靠这种做是来防止因不能做“职责分离”而引发的问题是不够给力的,实施此是需要前提的,那就是“职责分离”。
三、D做法并没有显示把东西都交给领导,请认真读题。
四、最后,规则是领导定的,你不按规则办事,或不经他同意就办了,你觉得你所做的事情能让领导满意吗?事情做的好与坏,不是你想“这样做好”就是好,最终好与坏还是由领导来评价的。


striker兄说的我深有体会,我自己在遇到实际问题的时候通常领导都是让我们给出自己的建议,成了则功在领导,你不过尽了你自己的职责;玩儿飞了的话,则错在自己,和别人没关系,在选择的时候也要考虑一些这方面的情况。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 11:19 
离线
中级用户

注册: 2008-04-17 21:11
最近: 2012-09-04 12:41
拥有: 579.90 安全币

奖励: 44 安全币
在线: 236 点
帖子: 63
stanley 写道:
问题的关键点就在这:“信息安全中心主任已及时提出问题、后果分析及解决方案”
从题干中分析这里面提到的风险只是信息安全中心主任就职责应该分离出发的,但具体的风险是什么?如果不处理的可能后果如何?解决方案的关键点是哪些?需要决策的内容是什么(即使同意增补人员,增补的人员做什么事情)?
还是那个问题,先需要详细了解问题本身,如果没有前面的措施,不找出实质或具体风险,仅通过上报是无济于事的。


报告高级管理层并详细清晰的描述该问题可能导致的损失等待高层决定是否接受该风险或调配资源执行相关的控制措施

如果在实际环境中,只是把问题列出然后报给领导那当然是无济于事。但请仔细阅读D选项中“详细清晰的描述该问题可能导致的损失”,难道做题时还有必要去假设这信息安全中心主任没分析全,分析有误吗?而且后半句也说明了信息安全中心主任有相应措施了“调配资源执行相关的控制措施”,但这是需管理层批准。相信大部分的公司要新增、调配在责权范围外是不会不需要管理层批准吧!?如果管理层不批准,那就需要接受风险。当然在实际工作中,会有第三种情况,就是领导说没资源或就这么多了,你搞掂它!但这时,信息安全中心主任是需要说明白的是,既然领导你没给足够的资源,那风险就可能无法降到你所期望的水平。风险处置后还会有残余风险,那残余风险你是否可以接受?这些事信息安全中心主任不报就做了,大家觉得靠谱吗?

前面的某些话就不再重复了...选A也好、选B也好,选C也好,适合就好。


--------本帖迄今已累计获得12安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 11:41 
离线
高级用户

注册: 2008-11-02 21:55
最近: 2014-01-08 22:59
拥有: 1,146.90 安全币

奖励: 0 安全币
在线: 1965 点
帖子: 234
选择D,
A是事后的,不合适。
B不是招不到人,而是工作内容最小颗粒拆分的问题。
C似乎是对的,这里讨论的是实际操作,guideline、operation层面的问题。方针估计做不了什么调整。


--------本帖迄今已累计获得7安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 11:43 
离线
高级用户

注册: 2008-11-02 21:55
最近: 2014-01-08 22:59
拥有: 1,146.90 安全币

奖励: 0 安全币
在线: 1965 点
帖子: 234
striker 写道:
stanley 写道:
问题的关键点就在这:“信息安全中心主任已及时提出问题、后果分析及解决方案”
从题干中分析这里面提到的风险只是信息安全中心主任就职责应该分离出发的,但具体的风险是什么?如果不处理的可能后果如何?解决方案的关键点是哪些?需要决策的内容是什么(即使同意增补人员,增补的人员做什么事情)?
还是那个问题,先需要详细了解问题本身,如果没有前面的措施,不找出实质或具体风险,仅通过上报是无济于事的。


报告高级管理层并详细清晰的描述该问题可能导致的损失等待高层决定是否接受该风险或调配资源执行相关的控制措施

如果在实际环境中,只是把问题列出然后报给领导那当然是无济于事。但请仔细阅读D选项中“详细清晰的描述该问题可能导致的损失”,难道做题时还有必要去假设这信息安全中心主任没分析全,分析有误吗?而且后半句也说明了信息安全中心主任有相应措施了“调配资源执行相关的控制措施”,但这是需管理层批准。相信大部分的公司要新增、调配在责权范围外是不会不需要管理层批准吧!?如果管理层不批准,那就需要接受风险。当然在实际工作中,会有第三种情况,就是领导说没资源或就这么多了,你搞掂它!但这时,信息安全中心主任是需要说明白的是,既然领导你没给足够的资源,那风险就可能无法降到你所期望的水平。风险处置后还会有残余风险,那残余风险你是否可以接受?这些事信息安全中心主任不报就做了,大家觉得靠谱吗?

前面的某些话就不再重复了...选A也好、选B也好,选C也好,适合就好。


做这些题目要按照老外的思路来考虑。呵呵。


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 12:10 
离线
初级用户

注册: 2007-07-21 20:10
最近: 2016-03-28 21:47
拥有: 314.00 安全币

奖励: 27 安全币
在线: 202 点
帖子: 42
说审计不合适是不对的,因为可以事先通知敏感岗位的人员,操作将受到审计,起到威慑作用。

只是审计确实在这里只是减少了风险,而没有起到完全消除的作用。


--------本帖迄今已累计获得7安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 12:28 
离线
中级用户

注册: 2008-04-17 21:11
最近: 2012-09-04 12:41
拥有: 579.90 安全币

奖励: 44 安全币
在线: 236 点
帖子: 63
coolmarke 写道:
striker兄说的我深有体会,我自己在遇到实际问题的时候通常领导都是让我们给出自己的建议,成了则功在领导,你不过尽了你自己的职责;玩儿飞了的话,则错在自己,和别人没关系,在选择的时候也要考虑一些这方面的情况。


呵呵,可以感受出来...

个人认为既然公司有流程有规定,那就遵照去做。

有些朋友说出问题就报领导要你干嘛?在出了问题后,没头没脑就把问题第一时间反馈给领导,让领导想办法去解决,那当然没有这位信息安全中心主任存在的意义,大可以炒掉了!关键是报之前要做好分析、做方案。不要以为这没有含金量,这反过来比选实施一个具体措施更有难度、更复杂和更讲求信息安全中心主任的能力。在完成这些过程后,这位信息安全中心主任后续再做的措施出错概率会更低,领导不满意的机会更小。

不要以为是信息安全中心主任就可以决定很多事儿。出了问题后,自己不报就决定用个人认为好的办法去解决,这信息安全中心主任就知道这方法领导也认可吗?领导的思路信息安全中心主任都能掌握吗?不报做了不出事,那是幸运儿。出事了那可是谁干谁知道啊~。

既然规定是管理层定,当不能符合规定而且问题超出了信息安全中心主任的权责范围时,信息安全中心主任就是应该把问题分析完后,报领导决策方案,然后再实施。什么要报什么不用报,关键还是把握个度吧。不是什么事都报,不是什么事都不报。如果信息安全中心主任连这也没法判断,那只好说,这信息中心主任的功力还差那么一点了。


--------本帖迄今已累计获得11安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 12:37 
离线
中级用户

注册: 2008-04-17 21:11
最近: 2012-09-04 12:41
拥有: 579.90 安全币

奖励: 44 安全币
在线: 236 点
帖子: 63
Parol 写道:
说审计不合适是不对的,因为可以事先通知敏感岗位的人员,操作将受到审计,起到威慑作用。

只是审计确实在这里只是减少了风险,而没有起到完全消除的作用。


从最初就没有人否认过审计的功效。但现在是做题,而且这题先项答案就有几个是对的,你能都选上吗?除非是多选题吧!?这里讨论的应该是那个选项来回答这问题是最适合的吧!?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 16:45 
离线
顶级用户

注册: 2008-01-08 09:09
最近: 2015-12-18 11:54
拥有: 12,483.50 安全币

奖励: 3044 安全币
在线: 2785 点
帖子: 776
地址: 浙江杭州
看了楼上各位的帖子分析的都很有道理,我也来分享下自己的想法,我开始是从风险控制的思路出发的现在换了个思路,还是得到了一样的答案D。
我是这么想的,问题的核心是风险管理,思路是角色的管理职责出发,每个选项我觉得都会涉及到管理层的决策。
A 对实际操作人员的操作过程进行审计
审计是种风险控制,审计不能替代职责分离,必然会留下残余风险,所以信息中心主任必须向管理层汇报这种解决方案和影响,D选项内有接受风险的文字。
B 向人力资源部门报告,调配相关人员迅速解决该问题
如果能有合适的人员补充,确实可以做到权限分离,但是从日常办公流程上讲,人力资源受到这么一个offer的请求,他们肯定要向高层进行汇报和审批,(我想每个人的公司都一样吧,要招人都需要HR审批,单位老总审批)D选项内也提到了调配资源
C 根据组织机构制定的安全策略方针,迅速采取控制措施
方针政策肯定不是信息中心主管说了算的,要高层决策,如果安全策略方针不能解决就需要进行变更,那就又需要D的存在了。

所以这么一关联,我觉得还是D最好。


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 17:01 
离线
版主

注册: 2006-01-19 17:47
最近: 2016-03-07 17:18
拥有: 6,511.70 安全币

奖励: 1310 安全币
在线: 5205 点
帖子: 536
地址: 上海
职责分离的最大风险就是因为权限过大,无法有效进行牵制,系统管理员可能日志都能删除,过程审计又有何用呢?


--------本帖迄今已累计获得2安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-12 23:01 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,372.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
这个问题不是让我们“先做什么”,而是“做什么”,所以……

C:我们做的一切,是为了贯彻我们的安全策略
B:但是,现实很残酷,所以我们要人!
D:HR问,为什么要人?所以,要找领导。
A:在找领导之前,我们得想领导说明白,我们已经做了什么?

我上面写的有点逆向……

我实际上赞成先做审计,但是,最终,作为主任
必须向领导说明风险,如果领导不批,则我已经尽到了责任


--------本帖迄今已累计获得33安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教一道题信息安全考题
帖子发表于 : 2010-10-13 09:09 
离线
中级用户

注册: 2008-04-17 21:11
最近: 2012-09-04 12:41
拥有: 579.90 安全币

奖励: 44 安全币
在线: 236 点
帖子: 63
网路游侠 写道:
这个问题不是让我们“先做什么”,而是“做什么”,所以……

C:我们做的一切,是为了贯彻我们的安全策略
B:但是,现实很残酷,所以我们要人!
D:HR问,为什么要人?所以,要找领导。
A:在找领导之前,我们得想领导说明白,我们已经做了什么?

我上面写的有点逆向……

我实际上赞成先做审计,但是,最终,作为主任
必须向领导说明风险,如果领导不批,则我已经尽到了责任


网路游侠兄的分析很贴合实际很到位。
但觉得针对后面一点,补充一下思路。审计本来就是一项常规性的工作,不应因“职责不分离”而不做。“职责不分离”来做审计那是一种风险,“职责不分离”而不做审计那又是另一种风险。所以就如前们有个哥们说了“职责分离的最大风险就是因为权限过大,无法有效进行牵制,系统管理员可能日志都能删除,过程审计又有何用呢?”,要使审计有效是有一些前提的,当缺乏了就容易被人质疑(是质疑,不是无效)。
所以从题意上来看,个人认为就算问题加了先做两个修饰也不见得做审计就是最佳的做法。由于在现实工作中,大家觉得或遇过要人要资源比做审计来得难、来得慢,所以才会这样的判断。但从流程角度来说,出现职权范围外的问题时,最好还是先做分析、汇报,让领导决策方案,然后根据领导的决定再实施方案的做法会更稳妥。领导同意了,在人员或资源未到岗前通过加强审计不失为一项好的补偿措施。

回到现实,就算最终汇报完后领导对方案都不同意时,要求用审计来代替“职责分离”,或用其它比审计更有效的方法,只要领导接受残余风险那也可以实施的。玩点极端的,“没人,没资源,残余风险也不接受,自己看着办”,而且公司里还有一帮捣蛋鬼,那信息安全中心主任要么现在就做准备,要么走人,要么等出事后被干掉吧。

在此之前有个关键,那就是信息安全中心主任必须把经深入、全面分析后的真相报给领导,以便让领导进行决策。如果没有真相,那领导没做出正确或恰当的决定,那可不是领导的问题,而是信息安全中心主任的问题了。最后领导要是明知真相,还是没时间、金钱、人员,哪请让他干吧!


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 65 篇帖子 ]  前往页数 上一页  1, 2, 3, 4, 5  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012