信息化 频道

中小企业信息安全规划的10个必备步骤

  【IT168 信息化】

  美国国家标准与技术研究院(NIST)是一家非常规的联邦机构,隶属于美国商务部,该机构旨在帮助小型企业和公司实施基本的有效的信息安全规划,并对一般的安全操作方法提供安全手册最终稿。事实证明,NIST标准对更大型公司的远程办公室也是适用的,因为在这种远程办公室,IT员工通常比较少甚至没有,因此员工承担更多关于信息安全的责任就显得非常重要了。

  据美联社报道,美国特工处强调,参议员国土安全和政府事务委员会证实网络犯罪的目标有向中小型企业发展的趋势,中小型企业(SMB)面临的网络危险是他们还没有更新计算机的安全规划。

  Michael Merritt是特勤处调查办公室的主任助理,他说,大部分攻击是通过海外犯罪集团查找窃取敏感财务数据和个人信息发生的。

  Phil Reitinger是国土安全部国家保护和计划局副部长,他告诉委员会称87%的违规行为可以通过“简单易行当即生效”的预防性措施进行防御。

  NIST的安全手册——“小型企业信息安全基本原则”是Richard Kissel的杰作,他是NIST计算机安全部的一位计算机科学家。该手册目前还是草稿形式,但是很快将落实,手册定位假定使用者不是技术专家,这是由Kissel多年从事小型企业安全教育,教给企业拥有者和主管如何保护他们的信息、系统和网络的经验中积累出来的。

  Kissel说:“他们不知道该怎么做。”他的听众包括:印刷工,技工,医生,牙医等等,他们在各自的专业领域非常在行,“但是他们不懂IT,也就没有信息安全的概念。”更令他担忧的就是NIST的研讨会,该研讨会是与FBI和小企业管理局共同召开的,每年平均有1000家企业参加。但是在美国有2500万中小型企业,占所有新就职空间的50%,这1000家企业只是九牛一毛。

  Kissel说:“我们认为,如果可能的话,我们要设计一个文档,非常小而且简单易读的文档,可以告诉人们如何做事情才能‘保护你的信息、系统和网络’,这样通过这份文档就可以帮助到更多的人。”

  这份20页的小册子列举出了10项“绝对必须”的行为,都是以比较简单直白的方式进行描述的,小型企业可以采用这些步骤来保护它们的信息、系统和网络。另外还列举了10项“极力推荐”的实践,这些条目都在后文列出来了。该手册中还包含有一段简短的关于可持续性和灾备规划内容,还有针对信息安全的企业策略。  另外在有人问到为什么这些条款这么重要时,他也对此作了解释。

  手册中还包括一些工作表,可以用来按优先级排列并保护组织的信息,可以消除安全漏洞和混乱的成本。

  Kissel对于有效的信息安全规划提出的10个“绝对必须”的步骤(下面列出了这一简单易用的小册子):

  保护信息,系统和网络免受病毒,间谍软件和其它恶意代码的侵害。

  为你的互联网连接提供安全保障。

  在你所有的业务系统上安装并激活软件防火墙。

  及时给你的操作系统和应用程序打补丁。

  对于重要的业务数据和信息做备份。

  控制对你计算机和网络组件的物理访问。

  保护你的无线接入点和无线网络。

  培训你的员工,使他们具备基本的安全常识。

  在业务计算机和业务应用中对每个员工设置独立的用户账号。

  限制员工访问数据和信息,限制安装软件的授权。

  下面是计算机用户最常遇到的10个安全问题,强烈建议谨慎使用:

  打开来自未知发件人的电子邮件附件,并在电子邮件中回复敏感信息。

  点击电子邮件中的Web链接和即时消息。

  点击弹出窗口上的“确定”按钮以及点击其它黑客陷阱。

  操作在线业务和在线银行业务。

  在雇佣员工时略过了对其犯罪背景的检查。

  网上冲浪。

  下载软件。

  在需要时没有得到专家的帮助。最好是商业管理机构,商会,小型企业发展中心可以向你指定服务供应商。

  旧电脑和介质的处理。

  针对社交工程的保护。

0
相关文章