> 返回 首页 > 精选文章 > 最佳实践 >如何从零开始构建信息安全计划?

如何从零开始构建信息安全计划?

发布时间:2023-05-31 18:37:00  来源:宁盾  点击量:

根据调查报告显示,从2021年到2022年,全球网络攻击增加了38%,其中勒索软件团伙利用远程协作工具占了非常大的比重。这意味着中小企业需要更加严格地加强基础设施安全。

 

从头开始构建信息安全计划需遵循4个步骤:

 

1、获得可见性

 

要实现安全就需要了解企业内部运作的情况。在处理新计划时,应建立以下方面的洞察力和文档:

 

日志


缺乏充分的日志记录和监控可能会带来潜在风险。使用以下过程来识别这些差距:

1)调查

哪些应用程序中存在哪些日志来源?

这些日志是如何检索的?

 

2)创建记录矩阵

● 优先级

● 技术和服务来源

● 位置

● 频率

● 输入/输出方法

 

3)建立日志监控自动化

 

● 数据流

管理人员必须知道哪些数据通过哪些系统存储和处理,以维护安全和隐私。通过采访数据所有者和制定数据流程图来调查数据流。

 

这些图应记录数据在公司环境中之间的流动以及它到达的位置。

 

● 访问

了解谁具有访问哪些系统的权限对于保护其中存储的数据至关重要。访问和权限始终应符合以下两个原则:

1)职责分离原则:任何人都不应具有足够的访问权限导致滥用系统。

2)最小特权原则:应该为用户提供他们需要完成工作的最少量的访问权限。

 

2、全面评估风险

 

在制定可见性文档的整个过程中,请注意记录任何您发现的风险,并开始建立一个风险登记簿。管理风险需要一定的项目管理:应记录风险,并跟踪和管理应对计划。

 

您的风险登记册应包括与每个风险相关的所有信息,包括所有者、缓解计划、截止日期等。例如,您的风险注册表可能包括:

● 风险ID和描述

● 风险的可能性、影响和严重性(即1-5),

● 处理计划

● 缓解操作步骤

● 纠正行动计划

● 结果的规范

● 风险整改步骤的所有者和审核人

● 指定的整改步骤的进度、截止日期和完成日期

 

这些类别并非详尽无遗;您的风险登记册可能包括特定于您企业的其他数据。风险评估不应是一次性活动,而是一项持续的分析。

 

3、定义和实施控件

 

每一个减轻的风险都会产生新的控件或来改进现有的控件。记住:控件是策略、流程或技术。每个控件都必须被定义和实施。例如,像“被解雇的员工仍保留对工作账户的访问权”这样的风险会导致创建或改进员工离职流程,这可能需要一项技术——如身份管理平台。

 

然后,这些新的控件应该被添加到策略中,授权并在整个企业中传达要求。上述列出的流程,以及您所属公司遵守的法规和框架,应作为定义您的控件的指南。

 

您可能会遇到的控件挑战

 

有时,实现控件可能比想象的更加困难,特别是在分散的 IT 环境中,这在中小型企业中非常普遍。控件通常跨越多个领域和功能。

 

在分散的环境中,使用许多单点解决方案而不是几个集中的增强方案,数据有时会丢失或发生错误。信息和流程可能无法在部门之间无缝传递,工具可能无法成功地将数据从一个点传递到另一个点。结果就是缺少可见性和沟通,从而产生新的风险和低效率。

 

拥有一个集中的平台,您可以在其中实施和管理涵盖整个组织的控件,对于实现有效的长期安全至关重要。

 

4、制定政策

 

政策可以向整个组织传达控件。确保用户理解和采用控件对于维护安全环境至关重要;毕竟,用户是安全的第一道防线。要求用户每年至少审查并同意政策,这将为企业中的所有用户提供安全意识。不要忘记对用户进行培训,让他们了解他们需要遵守的流程,以保护他们免受潜在威胁。

 

最后,IT安全应该是一个全面和迭代的过程:需要持续改进和完善。


宁盾(www.nington.com)版权所有

—END—

企业级数字身份基础设施提供商
x