许多小企业主愿意做更多的事情来改善他们的立博网站中文版,但不知道还能做什么. 选择的数量——无论是要购买的产品或服务,还是要采用的策略和流程——都可能让人束手无策. 除了, 立博网站中文版在本质上更多是组织性的,而不是技术性的, 使IT部门不适合或无法单独处理它.
那么,小企业应该怎么做呢?
立博网站中文版入门
美国国家标准与技术研究所(NIST)在2009年10月发表了一份题为 小企业信息安全:基本原理,(NISTIR 7621). 七年后,这份文件仍然是一个很好的起点. 它由10个“绝对必要”的行动组成, 10个高度推荐的实践和额外的规划考虑. 除了列出每个企业都应该实现的一些基本控件外,本文还着重介绍了这些控件 培训和意识,我坚信这些在今天被低估了.
资讯科技保安的最新发展
自2009年以来,一些与小企业更相关和更容易获得的主题在NIST的基本原则中是缺席的. 其中包括磁盘加密和多因素身份验证, 这两者都应该成为基本立博网站中文版计划的一部分. 在实现NIST基础之后的下一步是更新它们,确保所有包含敏感信息的便携式媒体都被加密,并且尽可能在远程访问时使用多因素身份验证.
添加IT安全控制层
一旦这些基本的东西就位, 另一项政府工具指明了更彻底的道路, 持续的努力. 联邦通信委员会的小企业网络规划师 生成按主题组织的安全控制和实践列表. 虽然它比NIST的基本原理更详细, 某些主题,如移动设备, 运营安全和支付卡值得关注, 因为它们在NIST的报告中明显缺席.
采用资讯科技架构
2014年2月, NIST发布了立博网站中文版框架 帮助企业和组织应对立博网站中文版风险. 框架核心包含一个广泛的类别列表, 五种立博网站中文版功能的子类别和信息参考-识别, 保护, 检测, 响应和恢复. 幸运的是小企业, 采用该框架并不包括全面采用核心,而是将当前实践与框架核心进行比较,同时考虑业务需求,以确定立博网站中文版实际结果与目标之间的差距. 此外, 同时,该框架确定了四个日益复杂的框架实现层, 明确地留给组织来决定2-4层中哪一层最适合其需求(尽管第1层中的组织应该采取行动进行改进)。.
简而言之, 而NIST立博网站中文版框架是一个全面而详细的立博网站中文版方法, 它足够灵活,对于那些愿意在组织层面上有条不紊地管理立博网站中文版风险的小企业来说非常有用.
锁定IT服务
最后,非营利性互联网安全中心的一份出版物 有效网络防御的CIS关键安全控制 由20个优先级的行动组成,组织可以采取这些行动来加强其网络防御. 虽然在不久的将来,大多数小企业不太可能完全采用所有的控制措施, 它们可以很好地作为技术参考和了解企业级立博网站中文版的窗口.