重要的在线文档开启链接分享,被人转了又转难以追回💔
会议上讨论的未公开项目,不知何时居然人尽皆知🤔
打印的关键信息纸质文件,被人看到甚至传播开😓
……
以上每个场景是不是都让人头皮发麻一身冷汗?财物丢失可能追回,信息泄露太难弥补!这些可怕情况的发生,大多是因为没有很好地遵守“授权最小化”原则。
大多数行业和场景都会将“授权最小”作为一条重要原则。
在《商业银行信息科技风险管理指引》第三章信息科技风险管理中,关于定义每个业务级别的控制内容包括了:访问授权以“必需知道”和“最小授权”为原则;
华为防火墙默认禁止所有的域间流量,所有未明确允许的流量都被禁止。这是在防火墙上落实最小授权原则的基础。在此基础上,仅为合法流量开放安全策略,可以有效减小攻击面。
要最大程度降低信息泄露风险,可从以下三方面控制信息活动权限,保证在满足业务需求的基础上权限最小化:
识别、明确信息密级和规则
①梳理分类:所有人都应对自己所接触到的信息进行梳理分类和涉密信息识别;其中部门/项目负责人应该组织对本部门/项目接触的信息及时进行梳理和和分类分级,识别出其中的涉密信息;
②信息规则:本部门/项目自己创建的,由部门/项目内确定涉密信息密级、传播范围和方式以及可以存放的位置,并确定部门/项目内部的同事清楚知晓自己所接触的涉密信息的对应规则;
①传递信息:将涉密信息传递给他人时,应当明确告知他人信息的使用条件,包括:用途、可保留时间、可再传播的范围以及其他保护要求;
②代码授权:代码的授权访问,必须遵循最小授权原则且与工作紧密相关,根据工作的需要及时予以调整:每个代码库都应该指定明确的管理员和授权方式;
③群组信息分享:使用群组信息分享(包括但不限于:飞书群组、邮件群、文件共享目录等)时,群组的创建者和管理者一定要遵循最小授权和]工作相关的原则来管理相关信息,如设置飞书文档权限;
④纸质文件:
非工作需要严禁打印涉密信息;
派发纸质文件必须选择安全的传递方式并明确告知收件人应严谨持有;
对于有将大量涉密纸件归档存放需求的部门,必须将纸件存放在有门禁和摄像头的房间中,遵照最小授权的原则授权接触法涉密纸件的权限;
⑤入会权限:内容涉及涉密信息的会议,如有通过电话会议形式加入的与会人员,应当采用组织者将与会人拉入的方式;
①及时维护和管理群组成员,及时删除非必要留在群组的成员;
②会议上临时分享的涉密信息,要及时回收和清理(例如:删除除在会议室电脑上保留的材料、擦除白板上的内容、回收或带离派发的细件);
③进行工作交接时,必须完成涉密信息、相关权限的移交和清理。
1.如《FJD涉密信息表》中尚未包含某些涉密信息,须要求信息安全部更新;
2.以上列举仅为部分实例,在日常工作中,尽量避免在公众场合谈论公事、涉密会议注意选取隔音避光相对较好的会议室、离开工位时及时锁屏等都是信息授权最小化的重要体现!
最小授权原则是最重要的安全原则之一,对最小授权原则的漠视就是信息泄露的最大风险。
做到绝对精准的最小授权并不容易,但我们必须向着这个方向不断努力。
