识别
培养组织对以下方面的网络安全风险管理的理解:系统、资产、数据和能力。 |
- 确定关键的企业流程和资产——企业有哪些活动必须继续才能生存?例如,这可能是维护一个网站以检索付款、安全地保护客户/患者信息,或者确保企业收集的信息保持可访问性和准确性。
- 文档信息流——重要的是不仅要了解企业收集和使用的信息类型,还要了解数据的位置和使用方式,尤其是合同和外部合作伙伴参与的位置。
- 维护硬件和软件清单——了解企业中的计算机和软件非常重要,因为它们通常是恶意行为者的切入点。该清单可以像电子表格一样简单。
- 制定包括角色和职责的网络安全政策——这些政策和程序应清楚地描述对网络安全活动将如何保护信息和系统以及它们如何支持关键企业流程的期望。网络安全政策应与其他企业风险考虑因素(例如,财务、声誉)相结合。
- 识别威胁、漏洞和资产风险——确保建立和管理风险管理流程,以确保识别、评估内部和外部威胁,并将其记录在风险登记册中。确保风险应对措施得到识别和优先排序、执行并监控结果。
制定和实施适当的保障措施,以确保提供服务。 |
- 管理对资产和信息的访问——为每个员工创建唯一的账户,并确保用户只能访问其工作所需的信息、计算机和应用程序。在授予用户访问信息、计算机和应用程序之前对用户进行身份验证(例如,密码、多因素技术)。严格管理和跟踪对设备的物理访问。
- 保护敏感数据——如果企业存储或传输敏感数据,请确保该数据在存储在计算机上以及传输给其他方时都受到加密保护。考虑使用完整性检查来确保只对数据进行了批准的更改。当出于合规目的不再需要或不需要数据时,安全地删除和/或销毁数据。
- 进行定期备份——许多操作系统都有内置的备份功能;还可以使用软件和云解决方案来自动执行备份过程。一个好的做法是让一组经常备份的数据脱机,以保护它免受勒索软件的侵害。
- 保护您的设备——考虑安装基于主机的防火墙和其他保护措施,例如端点安全产品。将统一配置应用于设备并控制对设备配置的更改。禁用不需要支持任务功能的设备服务或功能。确保制定政策并安全处置设备。
- 管理设备漏洞——定期更新安装在您的计算机和其他设备上的操作系统和应用程序,以保护它们免受攻击。如果可能,启用自动更新。考虑使用软件工具扫描设备是否存在其他漏洞;修复具有高可能性和/或影响的漏洞。
- 培训用户——定期对所有用户进行培训和再培训,以确保他们了解企业网络安全政策和程序以及他们的特定角色和职责,作为就业条件。
