识别
| 培养组织对以下方面的网络安全风险管理的理解:系统、资产、数据和能力。 |
- 确定关键的企业流程和资产——企业有哪些活动必须继续才能生存?例如,这可能是维护一个网站以检索付款、安全地保护客户/患者信息,或者确保企业收集的信息保持可访问性和准确性。
- 文档信息流——重要的是不仅要了解企业收集和使用的信息类型,还要了解数据的位置和使用方式,尤其是合同和外部合作伙伴参与的位置。
- 维护硬件和软件清单——了解企业中的计算机和软件非常重要,因为它们通常是恶意行为者的切入点。该清单可以像电子表格一样简单。
- 制定包括角色和职责的网络安全政策——这些政策和程序应清楚地描述对网络安全活动将如何保护信息和系统以及它们如何支持关键企业流程的期望。网络安全政策应与其他企业风险考虑因素(例如,财务、声誉)相结合。
- 识别威胁、漏洞和资产风险——确保建立和管理风险管理流程,以确保识别、评估内部和外部威胁,并将其记录在风险登记册中。确保风险应对措施得到识别和优先排序、执行并监控结果。
保护
| 制定和实施适当的保障措施,以确保提供服务。 |
- 管理对资产和信息的访问——为每个员工创建唯一的账户,并确保用户只能访问其工作所需的信息、计算机和应用程序。在授予用户访问信息、计算机和应用程序之前对用户进行身份验证(例如,密码、多因素技术)。严格管理和跟踪对设备的物理访问。
- 保护敏感数据——如果企业存储或传输敏感数据,请确保该数据在存储在计算机上以及传输给其他方时都受到加密保护。考虑使用完整性检查来确保只对数据进行了批准的更改。当出于合规目的不再需要或不需要数据时,安全地删除和/或销毁数据。
- 进行定期备份——许多操作系统都有内置的备份功能;还可以使用软件和云解决方案来自动执行备份过程。一个好的做法是让一组经常备份的数据脱机,以保护它免受勒索软件的侵害。
- 保护您的设备——考虑安装基于主机的防火墙和其他保护措施,例如端点安全产品。将统一配置应用于设备并控制对设备配置的更改。禁用不需要支持任务功能的设备服务或功能。确保制定政策并安全处置设备。
- 管理设备漏洞——定期更新安装在您的计算机和其他设备上的操作系统和应用程序,以保护它们免受攻击。如果可能,启用自动更新。考虑使用软件工具扫描设备是否存在其他漏洞;修复具有高可能性和/或影响的漏洞。
- 培训用户——定期对所有用户进行培训和再培训,以确保他们了解企业网络安全政策和程序以及他们的特定角色和职责,作为就业条件。
检测
| 制定并实施适当的活动,以识别网络安全事件的发生。 |
- 测试和更新检测流程——开发和测试用于检测网络和物理环境中未经授权的实体和行为(包括人员活动)的流程和程序。工作人员应了解他们在组织内部以及向外部治理和法律机构进行检测和相关报告方面的角色和责任。
- 维护和监控日志——日志对于识别企业计算机和应用程序中的异常情况至关重要。这些日志记录事件,例如系统或帐户的更改以及通信渠道的启动。考虑使用可以聚合这些日志并从预期网络行为中寻找模式或异常的软件工具
- 了解您的企业预期的数据流——如果知道企业预期使用什么数据以及如何使用数据,就更有可能注意到意外发生的时间——而在网络安全方面,意外从来都不是一件好事。意外数据流可能包括从内部数据库导出并退出网络的客户信息。如果您已将工作外包给云或托管服务提供商,请与他们讨论他们如何跟踪数据流和报告,包括意外事件。
- 了解网络安全事件的影响——如果检测到网络安全事件,企业应该迅速而彻底地了解影响的广度和深度。寻求帮助。与适当的利益相关者交流有关活动的信息将有助于在合作伙伴、监督机构和其他人(可能包括投资者)方面保持良好地位,并改进政策和流程。
响应
| 制定并实施适当的活动,以便对检测到的网络安全事件采取行动。 |
- 确保响应计划得到测试——测试响应计划以确保每个人都知道他们在执行计划中的责任更为重要。组织准备得越充分,响应就越有效。这包括了解任何法律报告要求或所需的信息共享。
- 确保更新响应计划——测试计划(和事件期间的执行)不可避免地会揭示需要改进的地方。务必根据吸取的教训更新应对计划。
- 与内部和外部利益相关者协调——重要的是要确保企业的响应计划和更新包括所有关键利益相关者和外部服务提供商。他们可以为改进规划和执行做出贡献。
恢复
| 制定并实施适当的活动,以维持恢复计划,并恢复因网络安全事件而受损的任何能力或服务。 |