我欲封天txt下载,盗墓笔记

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

網(wǎng)絡安全知識之老板們應該過問的有關網(wǎng)絡風險的問題

隨著技術(shù)的不斷發(fā)展，網(wǎng)絡威脅的復雜性不斷增加。網(wǎng)絡威脅影響各種規(guī)模的企業(yè)，需要老板們(CEO)和其他高級領導者的關注和參與。為了幫助公司了解他們的風險并為網(wǎng)絡威脅做好準備，老板們應與其領導討論關鍵的網(wǎng)絡安全風險管理主題，并實施網(wǎng)絡安全優(yōu)秀實踐。

貢覺網(wǎng)站制作公司哪家好，找成都創(chuàng)新互聯(lián)公司！從網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、APP開發(fā)、成都響應式網(wǎng)站建設公司等網(wǎng)站項目制作，到程序開發(fā)，運營維護。成都創(chuàng)新互聯(lián)公司2013年開創(chuàng)至今到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進行。專注于網(wǎng)站建設就選成都創(chuàng)新互聯(lián)公司。

本文檔中列出的優(yōu)秀實踐是從事件響應活動和網(wǎng)絡風險管理中吸取的經(jīng)驗教訓匯編而成的。

老板們應該了解公司面臨的網(wǎng)絡安全威脅嗎?

老板們應該就潛在的網(wǎng)絡安全威脅提出以下問題：

網(wǎng)絡安全威脅如何影響企業(yè)的不同職能，包括供應鏈、公共關系、財務和人力資源等領域?
哪些類型的關鍵信息可能會丟失(例如，商業(yè)機密、客戶數(shù)據(jù)、研究、個人身份信息)?
我的企業(yè)如何建立長期彈性以最大限度地降低網(wǎng)絡安全風險?
我的企業(yè)參與了什么樣的網(wǎng)絡威脅信息共享?我的企業(yè)與誰交換這些信息?
我的企業(yè)可以采用哪些類型的信息共享實踐來幫助在企業(yè)所屬的不同網(wǎng)絡安全團體之間建立社區(qū)?

老板們可以采取哪些措施來緩解網(wǎng)絡安全威脅?

以下問題將幫助老板們指導與管理層討論網(wǎng)絡安全風險：

將網(wǎng)絡安全威脅通知行政領導層的門檻是多少?
公司目前的網(wǎng)絡安全風險水平如何?
目前的網(wǎng)絡安全風險水平對公司的業(yè)務可能產(chǎn)生哪些影響?
有什么計劃來應對已識別的風險?
員工可以獲得哪些網(wǎng)絡安全培訓?
采取了哪些措施來減輕內(nèi)部威脅?
網(wǎng)絡安全計劃如何應用行業(yè)標準和最佳實踐?
網(wǎng)絡安全計劃指標是否可衡量且有意義?
網(wǎng)絡安全事件響應計劃以及業(yè)務連續(xù)性和災難恢復計劃有多全面?
多久執(zhí)行一次計劃?
計劃是包含整個公司還是僅限于信息技術(shù) (IT)?
企業(yè)是否準備好與聯(lián)邦、州和地方政府網(wǎng)絡事件響應者和調(diào)查人員以及合同響應者和供應商社區(qū)合作?(這塊在國內(nèi)考慮網(wǎng)信、公安、保密等監(jiān)管部門建立協(xié)調(diào)機制)？

推薦的組織網(wǎng)絡安全優(yōu)秀實踐

下面列出的網(wǎng)絡安全最佳實踐可以幫助組織管理網(wǎng)絡安全風險。

(1) 將網(wǎng)絡安全風險管理討論提升至公司老板們和領導團隊。

高管應自上而下制定政策，以確保每個人都有權(quán)執(zhí)行與其在降低網(wǎng)絡安全風險方面的角色相關的任務。自上而下的策略定義角色并限制可能損害 IT 安全的權(quán)力斗爭。

老板們和公司高級領導層參與定義組織的風險戰(zhàn)略和可接受的風險水平對于全面的網(wǎng)絡安全風險計劃至關重要。在首席信息安全官、首席信息官和整個領導團隊的協(xié)助下，公司老板們應該確保知道他們的部門如何影響公司的整體網(wǎng)絡風險。此外，與公司董事會就這些風險決策進行定期討論可確保所有公司決策者都能看到。

(2) 實施行業(yè)標準和最佳實踐，而不是僅僅依賴合規(guī)性標準或認證。

通過實施行業(yè)基準和最佳實踐(例如，遵循互聯(lián)網(wǎng)安全中心等組織的最佳實踐)來降低網(wǎng)絡安全風險。組織應定制最佳實踐，以確保它們與其特定用例相關。

遵循一致的最佳實踐來建立預期企業(yè)網(wǎng)絡行為的組織基線。這使組織能夠主動應對網(wǎng)絡安全威脅，而不是花費資源來“滅火”。

合規(guī)標準和法規(guī)(例如，聯(lián)邦信息安全現(xiàn)代化法案)提供了最低要求的指導;然而，還有更多的企業(yè)可以做來超越要求。

(3) 評估和管理特定于組織的網(wǎng)絡安全風險。

確定組織的關鍵資產(chǎn)以及網(wǎng)絡安全威脅對這些資產(chǎn)的相關影響，以了解組織的特定風險敞口——無論是財務、競爭、聲譽還是監(jiān)管。風險評估結(jié)果是確定和優(yōu)先考慮特定保護措施、分配資源、為長期投資提供信息以及制定管理網(wǎng)絡安全風險的政策和戰(zhàn)略的關鍵輸入。

提出必要的問題，以了解安全規(guī)劃、運營和安全相關目標。例如，最好通過實施整體安全控制而不是詢問特定的安全控制、保護措施和對策來關注組織將實現(xiàn)的目標。

將網(wǎng)絡企業(yè)風險討論集中在“假設”情況上，抵制“這里不可能發(fā)生”的思維模式。

創(chuàng)建一個可重復的流程，對員工進行交叉培訓，將風險和事件管理作為一種制度實踐。通常，只有少數(shù)員工在關鍵領域具有主題專業(yè)知識。

(4) 確保網(wǎng)絡安全風險指標有意義且可衡量。

一個有用指標的示例是組織修補整個企業(yè)的關鍵漏洞所需的時間。在這個例子中，減少修補漏洞所需的天數(shù)直接降低了組織的風險。

一個不太有用的指標的示例是安全運營中心 (SOC) 在一周內(nèi)收到的警報數(shù)量。SOC 接收到的警報數(shù)量變量太多，無法始終保持相關性。

(5) 為事件響應、業(yè)務連續(xù)性和災難恢復制定和實施網(wǎng)絡安全計劃和程序。

組織在整個組織中測試其事件響應計劃至關重要，而不僅僅是在 IT 環(huán)境中。組織的每個部分都應該知道如何應對基本和大規(guī)模的網(wǎng)絡安全事件。測試事件響應計劃和程序有助于防止事件升級。

事件響應計劃應提供有關何時將事件提升到下一級領導層的指示。定期執(zhí)行事件響應計劃使組織能夠快速響應事件并將影響降至最低。

(6) 留住高素質(zhì)的勞動力。

網(wǎng)絡安全工具的好壞取決于查看工具結(jié)果的人。擁有能夠為組織確定合適工具的人員也很重要。學習復雜組織的企業(yè)網(wǎng)絡可能需要大量時間，因此留住技術(shù)人員與獲取他們一樣重要。阻止所有網(wǎng)絡安全威脅沒有完美的答案，但知識淵博的 IT 人員對于降低網(wǎng)絡安全風險至關重要。

新的網(wǎng)絡安全威脅不斷出現(xiàn)。受托檢測網(wǎng)絡安全威脅的人員需要持續(xù)培訓。培訓增加了人員檢測網(wǎng)絡安全威脅并以符合行業(yè)最佳實踐的方式應對威脅的可能性。

確保有適當?shù)挠媱潄斫鉀Q與減輕網(wǎng)絡安全風險相關的額外工作量。

網(wǎng)絡安全正在成為一門以任務為導向的正式學科，需要與關鍵知識、技能和能力保持特定的一致性。在國內(nèi)首創(chuàng)的網(wǎng)絡安全職業(yè)和研究(NICCS)是人力資源規(guī)劃的有用資源。

(7) 保持對網(wǎng)絡安全威脅的態(tài)勢感知。

訂閱有關新興網(wǎng)絡安全威脅的通知(例如，國家網(wǎng)絡意識系統(tǒng)產(chǎn)品、MITRE 常見漏洞暴露、CERT 協(xié)調(diào)中心漏洞說明)。如果可能，創(chuàng)建一份關于組織最近面臨的網(wǎng)絡安全威脅(例如，網(wǎng)絡釣魚電子郵件、惡意軟件、勒索軟件)的摘要，以分發(fā)給 IT 部門以外的人員，以幫助加強他們在降低網(wǎng)絡安全風險方面的作用。

探索可用的興趣社區(qū)。這些可能包括特定部門的信息共享和分析中心、國土信息共享網(wǎng)絡或其他政府和情報計劃。

分享名稱：網(wǎng)絡安全知識之老板們應該過問的有關網(wǎng)絡風險的問題
鏈接URL：http://m.fisionsoft.com.cn/article/dhppooj.html

新聞中心

老板們應該了解公司面臨的網(wǎng)絡安全威脅嗎?

老板們可以采取哪些措施來緩解網(wǎng)絡安全威脅?

推薦的組織網(wǎng)絡安全優(yōu)秀實踐

其他資訊