微信订阅号二维码
本栏目热门内容
  • Windows 系统安全基线及软...
  • 微软安全合规工具包(SCT...
  • SELINUX介绍连载#3:什么...
  • 详细了解微软安全合规工具...
  • SELINUX介绍连载#2:模式...
  • CIS关键安全控制措施#16应...
  • 从甲方角度介绍“CIS互联...
  • CIS关键安全控制措施#6访...
  • CIS关键安全控制措施#17突...
  • CIS关键安全控制措施#8审...
  • CIS关键安全控制措施#7持...
  • 关于OpenSCAP/SCAP安全策...
  • 安装RHEL/CentOS时如何选...
  • SELINUX介绍连载#1:基础...
  • CIS关键安全控制措施#18渗...
  • CIS关键安全控制措施#15服...
  • CIS关键安全控制措施集18...
  • CIS关键安全控制措施#16应...
  • CIS关键安全控制措施#9电...
  • CIS关键安全控制措施#11数...
  • CIS关键安全控制措施#12网...
  • CIS RAM#4实施防护措施、...
  • CIS关键安全控制措施#14安...
  • CIS关键安全控制措施#2软...
  • SELINUX介绍连载#4:策略...
  • CIS RAM#1风险评估方法核...
  • 什么是网络行为异常检测(...
  • CIS关键安全控制措施#1总...
  • 网络行为异常检测(NBAD)...
  • 更多...

    业务导向甲方网络安全策略设计#5员工培训及系列总结
    作者:Sender  来源:WaveCN.com  发布日期:2022-06-06  最后修改日期:2022-06-05

      关于安全策略最后要说的是员工培训,这也是接上在上一期:

    业务导向甲方网络安全策略设计#4安全防护

    最后的内容,也是关于员工培训。

    第六部分:员工培训:实施定期的、目的是增强安全意识的演练

      虽然放在最后,但并非最不重要。相反,培训人员是网络安全策略的关键。因为人是生产关系中最活跃的因素。如果企业人员不称职、不履职,企业就必然走向关停。同样地,如果企业人员漠视安全风险,企业也必然会因此而导致损失。

      因此,对员工的培训需要保证具备以下要点:

      1、场景设计

      设计不同的业务运行期间会产生的风险场景,并训练企业员工适应每一种风险场景。尤其是对员工的培训覆盖面应为100%,让每个人都意识到风险无处不在,任何人都可能成为受害者。

      2、定期演练

      对企业信息化人员,也就是在网络安全和数据管理的技术人员方面,必须定期进行演练,尤其是应急演练。通过演练确保每个人都知道在出现风险时,应如何处置。进一步地,应安排带有压力的风险场景,测试技术人员是否能在压力下完成处置工作。

      3、沟通联动

      企业内部需要有良好的沟通机制。任何软硬件系统都无法完全取代人的作用,尤其是人和人之间的沟通作用。常见做法是建立固定的多级联系人机制,制定相应的报告机制,重点是在发生安全事件时,应允许越级直接上报

      4、结合工作

      培训的内容不能只是常识性、泛泛而谈。应该是和员工的具体工作相关联,尤其要渗透到对外联系的业务过程中的工作细节,比如如何正确收发处理电子邮件这种工作细节。

      5、覆盖全员

      要覆盖到企业内的每个岗位(每个人),要能确定到每一个人的安全职责,实现全员安防。任何企业都不能仅靠个别一两个IT人员的能力去解决全部安全问题。责任必须落到每个人的身上,每个人都应该知道在出现安全事件时应如何采取行动。

    业务导向甲方网络安全策略设计#5员工培训小结

      在企业内部的员工培训工作需要充分实施以上5个要点。虽然,这5个要点无疑会对企业基层员工、企业的管理人员带来工作压力和精神压力。但从风险管理角度,在低风险状态下适当引入压力进行测试,总比意外事件来临时手足无措要好得多。

    业务导向甲方网络安全策略设计总结

      网络安全策略的重要性主要体现在以下三个方面:

    • 减免法律责任承担:良好的安全策略可以在某些情况下免除企业的责任。

    • 提升内部运行质量:工作人员清晰了解什么该做什么不该做,压力就会减少,反应就会更快,从而提升工作效率。

    • 确保企业声誉:通过安全策略避免发生安全事件,带来的是对维护企业声誉的无形收益。

      要设计出良好适用的网络安全策略,企业(管理者)需要具备以下四个因素的能力:

    • 良好的数据敏感度和数据管理能力

    • 良好的内部沟通协作能力

    • 执着且频繁的内部检查和更新

    • 充分的员工意识培训和风险评估

      如果负责制定网络安全策略的管理者的能力能涵盖这四个方面,并定期实践良好的数据治理,相应地,企业对网络安全风险的态度、立场就能明确,并能正面反馈回到管理者继续关注和改进网络安全策略。

      总的来说,网络安全策略是一套解释如何保护你的公司和客户数据免受国内外网络攻击的程序。它并不是特别复杂,但它包括了当前的情况、风险、需求以及未来如何应对它们的计划。

      创建一套网络安全策略并不简单,但它也并不难。分解出你需要保护的东西,并识别出你可能面临的危险,参考网络安全咨询行业的各种观点,糅合在一起,最终形成企业内部网络安全策略。

      网络安全策略应包括各种具体的应对程序,并确保每个人都有如何遵循它们的工具和知识。应对程序不应该模糊或特别技术性,因为它们是对企业员工在特定情况下应该做什么的指导方针。

      最后还是要提醒的是,注意收集的数据,并将其分解为非关键数据和关键数据。黑客和骗子可能会为获得企业的数据而关注企业收集数据的过程和操作。要特别为此类攻击行为做好应对计划。

    欢迎关注微信公众号后私信讨论文章内容!
    本栏目相关
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-03-18 微软安全合规工具包(SCT)操作实战
  •  2022-03-09 网络安全等级保护之SELINUX介绍连载之三(什么是策略)
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-08 网络安全等级保护之SELINUX介绍连载之二(模式切换篇)
  •  2022-04-20 CIS关键安全控制措施#16应用软件安全(下)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-04-02 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之六:访问控制管理
  •  2022-04-21 CIS关键安全控制措施#17突发事件响应管理