信息安全管理的二十条军规

信息安全管理二十条军规

 

 

棱镜门事件至少告诉了我们一个事实,那就是NSA的安全技术和管理水平领先业界至少3-5年。

企业今天面临空前的安全威胁,犯罪集团、黑客散客、竞争对手、内部员工…如果没有周密的安全管理体系,再好的安全技术也不能发挥作用。

近日NSA发布了一份安全报告《企业信息安全控制二十大关键问题》,

指出每个企业都应当在安全审计时回答上述问题,最大限度弥补可能被黑客利用的安全短板,我们姑且称之为企业信息安全管理的二十条军规(如果NSA能够严格执行这些军规的话,估计斯诺登同学也就没啥露脸的机会了):

一、你是否登记了所有授权和未授权设备?

二、是否登记了所有授权和未授权应用?

三、是否为所有硬件、软件和移动设备创建了标准化的安全配置的镜像?

四、是否持续进行漏洞评估和整改工作?

五、恶意软件防护是否得到及时更新和升级?

六、应用软件是否安全?

七、无线安全边界的防护是否到位?

八、是否具备快速数据恢复的能力?

九、是否经常进行员工安全技能评估和培训?

十、是否在所有网络设备商都建立了安全配置?

十一、是否限制了对网络端口、协议和服务的访问?

十二、是否对管理员权限有足够的掌控?

十三、是否确定对网络边界进行了保护?

十四、是否紧密关注审计日志?

十五、你是否对安全状况了如指掌?

十六、你是否对假冒用户有足够的警惕?

十七、你能否防止网络攻击导致的数据丢失?

十八、你是否有一个快速高效的事件响应计划?

十九、你的网络设计是否强健到足以吓阻攻击者?

二十、是否定期进行入侵测试?

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

隐私已经死去,软件正在吃掉世界,数据即将爆炸