中小企業信息安全規劃的10個必備步驟

2014-12-11 23:30:28 大云網　點擊量：評論 (0)

美國國家標準與技術研究院（NIST）是一家非常規的聯邦機構，隸屬于美國商務部，該機構旨在幫助小型企業和公司實施基本的有效的信息安全規劃，并對一般的安全操作方法提供安全手冊最終稿。　　美國國家標準與技術

美國國家標準與技術研究院（NIST）是一家非常規的聯邦機構，隸屬于美國商務部，該機構旨在幫助小型企業和公司實施基本的有效的信息安全規劃，并對一般的安全操作方法提供安全手冊最終稿。

　　美國國家標準與技術研究院(NIST)是一家非常規的聯邦機構，隸屬于美國商務部，該機構旨在幫助小型企業和公司實施基本的有效的信息安全規劃，并對一般的安全操作方法提供安全手冊最終稿。事實證明，NIST標準對更大型公司的遠程辦公室也是適用的，因為在這種遠程辦公室，IT員工通常比較少甚至沒有，因此員工承擔更多關于信息安全的責任就顯得非常重要了。

　　據美聯社報道，美國特工處強調，參議員國土安全和政府事務委員會證實網絡犯罪的目標有向中小型企業發展的趨勢，中小型企業(SMB)面臨的網絡危險是他們還沒有更新計算機的安全規劃。

　　Michael Merritt是特勤處調查辦公室的主任助理，他說，大部分攻擊是通過海外犯罪集團查找竊取敏感財務數據和個人信息發生的。

　　Phil Reitinger是國土安全部國家保護和計劃局副部長，他告訴委員會稱87%的違規行為可以通過“簡單易行當即生效”的預防性措施進行防御。

　　NIST的安全手冊——“小型企業信息安全基本原則”是Richard Kissel的杰作，他是NIST計算機安全部的一位計算機科學家。該手冊目前還是草稿形式，但是很快將落實，手冊定位假定使用者不是技術專家，這是由Kissel多年從事小型企業安全教育，教給企業擁有者和主管如何保護他們的信息、系統和網絡的經驗中積累出來的。

　　Kissel說：“他們不知道該怎么做。”他的聽眾包括：印刷工，技工，醫生，牙醫等等，他們在各自的專業領域非常在行，“但是他們不懂IT，也就沒有信息安全的概念。”更令他擔憂的就是NIST的研討會，該研討會是與FBI和小企業管理局共同召開的，每年平均有1000家企業參加。但是在美國有2500萬中小型企業，占所有新就職空間的50%，這1000家企業只是九牛一毛。

　　Kissel說：“我們認為，如果可能的話，我們要設計一個文檔，非常小而且簡單易讀的文檔，可以告訴人們如何做事情才能‘保護你的信息、系統和網絡’，這樣通過這份文檔就可以幫助到更多的人。”

　　這份20頁的小冊子列舉出了10項“絕對必須”的行為，都是以比較簡單直白的方式進行描述的，小型企業可以采用這些步驟來保護它們的信息、系統和網絡。另外還列舉了10項“極力推薦”的實踐，這些條目都在后文列出來了。該手冊中還包含有一段簡短的關于可持續性和災備規劃內容，還有針對信息安全的企業策略。

　　另外在有人問到為什么這些條款這么重要時，他也對此作了解釋。

　　手冊中還包括一些工作表，可以用來按優先級排列并保護組織的信息，可以消除安全漏洞和混亂的成本。

Kissel對于有效的信息安全規劃提出的10個“絕對必須”的步驟(下面列出了這一簡單易用的小冊子)：

　　1.保護信息，系統和網絡免受病毒，間諜軟件和其它惡意代碼的侵害。

　　2.為你的互聯網連接提供安全保障。

　　3.在你所有的業務系統上安裝并激活軟件防火墻。

　　4.及時給你的操作系統和應用程序打補丁。

　　5.對于重要的業務數據和信息做備份。

　　6.控制對你計算機和網絡組件的物理訪問。

　　7.保護你的無線接入點和無線網絡。