菜单

打电话给我们 03450 21 21 51

5个问题您应该要求确保您的业务正在认真地获取信息安全
SRM博客

5个问题您应该要求确保您的业务正在认真地获取信息安全

 伊恩阿姆斯特朗

写道 伊恩阿姆斯特朗

2020年2月28日

分享这篇文章

 事件响应

谁负责组织内的信息安全?

简单的答案是: 每个人 。虽然这可能看起来像是一种简单的回应,但每个组织都会理解将问责制到每个角色的重要性,从上到下。虽然它或INFOSEC团队将领先于设计,实施和维护信息安全政策,但遵守这些政策需要从每个团队成员那里购买。

如果您是贵公司内的高级经理或董事会成员,您可能不会直接负责实施公司范围信息安全计划的细节。然而,您的确实有责任提出相关的问题,提供支持并提倡适当的资源,以确保信息安全是正确的范围,定期更新和适合目的。毕竟,在今天’■数字时代,业务的未来取决于其保护其数字资产的能力。没有数据安全,企业风险很大。

这听起来像是常识,但你真的知道你的业务是否正在认真对待信息安全?以下是要问的一些问题。

 

1.我们的事件响应计划在哪里,是团队中的每个人都熟悉它?

通常,违约的第一个暗示将由IT和Infosec团队以外的员工发现。为了确保对威胁的响应迅速而有效,组织的每个成员都需要知道在哪里找到事件响应计划以及如何遵循协议。询问您的团队如果他们熟悉您的事件响应计划,并且他们可以发现它将清楚地表明您的业务是否正在认真对待信息安全。

对于没有内部网络安全资源的组织,在紧急情况下,第一个呼叫港口可能是外部 事件反应团队.

 

2.我们的网络安全风险登记册何时最新更新?

高级管理人员需要了解他们面临的网络风险的确切性质,并对如何减少曝光做出明智的决定。网络安全风险登记册对本组织的风险排名,并取决于高级管理层或具有业务责任的人,以讨论和优先考虑这些风险并验收优先计划。有些风险可能是可以接受的,而其他风险则需要立即减轻。

 

3.我们是否有一个总体的Infosec政策,我们做得足以坚持它?

信息安全策略由一组规则组成,该规则旨在确保组织内的所有用户或网络遵循数据安全性的协议。通常,该政策规定了依赖于员工的资历或职权的访问程度。

如果这个问题的答案是“否”,重要的是,你很快就得到一个。可能是没有内部技能,以有效地起草了全面的信息综合症政策,在这种情况下,可能需要出现外界专业知识。

了解有关如何的信息 VirtualCiso. 可以提供灵活且可扩展的资源。

 

4.我们的隐私政策和可接受的使用政策何时审查?

隐私政策是一个陈述或法律文件,概述了组织收集,使用,披露和管理客户或客户的一些或全部方式’数据。这是一个法律要求。法律不需要可接受的使用政策,但它可能是组织的重要工具。通过概述用户预期同意的制约因素,实践和免责声明,可接受的使用政策可以减少组织的责任。

 

5.如何知道我们的技术安全控制和审查计划是否适合目的?

技术安全控制分为三类:预防,侦探和响应。安全控件本身包括安全措施,对策,硬件和软件。这些必须定期审查和更新,以便他们适合目的。

 

最后的想法

强大的信息安全策略保护组织的机密性,完整性和可用性’数据和有法律和监管要求迫使我们确保有效完成这一点。精心制作的信息安全策略可以降低数据泄露的风险,而事件管理计划将确保在尝试攻击时有明确的行动计划。可证明的安全性也有利于客户,利益攸关方和第三方,提高业务关系和声誉。

良好的信息安全计划应经常在内部和外部挑战。不仅如此,而且建议进行测试和练习(最好是在外部专业知识的支持下)来探索和利用任何空隙,以便可以采取补救行动,同时控制仍在您身边。

 

讨论SRM如何提供专业知识和专业意见,以帮助高级团队成员和IT部门开发和管理有效的总体信息安全策略,请联系 info@srm-solutions.com. 或者在03450 21 21 51上致电我们。