【TechTarget中国原创】由被授权人员造成的内部威胁都有很多的研究记录和法庭案件记录。根据美国的ACFE的记录,企业每年因诈骗而受到的损失大约在6520亿美元。不幸的是,内部威胁不只是诈骗,还要考虑到怠工,懒散,人为误差和外部的利用。如果你还没有认真审视过你的组织内部的威胁管理,那么现在就应该看看了。
组织内部的威胁控制的执行过程,要以把重要信息按照影响级别分为机密性,完整性和可用性。NIST SP 800-60提供了信息类别和影响解析的例子。
| 数据类型 |
机密性 |
完整性 |
可用性 |
| 商业机密 |
高 |
高 |
中 |
| 人力资源 |
高 |
中 |
低 |
| 金融 |
高 |
高 |
中 |
既然数据已经按照机密性,完整性和可用性解析分类,就要识别系统边界。边界应该包括系统,数据流,网络,人才和硬拷贝输出。