安全管理最佳安全实践之划定基准线二
2018-03-01 20:50:13 | 来源:中培企业IT培训网
很多机构为实施安全措施而提供了最佳实践研讨会和培训班。例如,信息系统审计与控制协会(mⅢ.isaca. com)定期举办类似的研讨会。同样,国际职业安全顾问协会和全球网格论坛也列出了一个最佳实践列表,也可以仔细研读网络门户中已发布的安全最佳实践。许多免费门户都致力于安全维护收集的实践,例如SerchSecurity. com和NIST计算机资源中心。
Gartner Group提出了12个问题,以供最佳安全实践做出自我评估。这些问题分为3类——人员、过程以及技术——它们隐约地反映了NIST方法学中的管理、 操作以及技术领域:
人员
①你是否会检查所有可以访问敏感数据、领域及访问点的雇员的背景?
②一般的雇员是否意识到安全问题?
③他们是否会选择上报问题?
④他们是否知道怎样向适当的人汇报?
过程
⑤企业安全策略是否每年至少井级一次?雇员是否经常培训?是否自始至终都贯彻制定的策略?
⑥你的企业是否采纳补丁/升级管理和评估过程,来对新的安全漏洞区分优先级以及调停。
⑦在前雇员离任之后其账户是否会立即被删除掉?
⑧安全小组代表是否会涉足新项目生命周期的所有阶段?
技术
⑨每一个通往互联网的路由是否都得到了适当的防火墙保护?
⑩便携电脑和远程系统上的敏感数据是否已加密?
⑩你是否经常用漏洞分析工具来扫描你的系统和网络,以发现暴露的安全问题?
⑥是否在全部工作站和服务器上都部署了恶意软件扫描工具?
通过在线完成这些调查,机构可以把它的操作同其他公司进行比较,以提供最佳安全实践比较。