网站首页 动态 知识 典型案例 反间谍 判决文书 优秀文章
首页 > 知识产权智库 > 国外知识产权保护 > 知识 >

美国信息安全的10项措施(2)

发布时间:2015-05-15 14:41点击率:

  在美国联邦调查局和计算机安全协会对企业和政府机构的调查中,90%被调查者称,过去12个月中计算机安全遭受过破坏。这些破坏给80%受访者造成财务损失。而且,据Gartner Research的调查,大部分计算机故障造成的损坏与企业内部人员有关,而非外部计算机入侵者所为。
  尽管许多小型企业制定了相应制度,保护客户记录及其他专有信息,但随着计算机与互联网的使用不断增加,企业面临许多新的攻击威胁,包括内部和外部。这种情况严重影响了企业的客户信誉,品牌公信力和企业形象,甚至业务本身也面临风险。
  安全防范意识不仅大企业需要加强,即使小公司也同样十分必要。而通过常规手段识别潜在攻击,实施相应流程加以防范,可显著提高各类规模企业的计算机安全。以下是可以在这方面采取的十项措施:
  1. 制定企业信息安全政策。有效的安全管理首先要有成文的安全政策,规定企业信息安全目标、标准及制度要求。这些文件也可用作管理工具,从组织上落实企业的安全规则。
  为避免“流于形式”,可以网站上查看政策模板。
  2. 落实安全职责。公司由谁负责信息安全?不必聘请外部信息安全管理员,但有必要在企业内部指定一个人,在管理团队中专职负责保证并不断提高组织内部的信息安全。
  3. 信息资产造册。企业应制定并维护信息资产清单―包括软件、计算机设备、数据库及文件―文档及其位置,安全等级及内部责任人。为保险起见,这类清单往往需要规定每类资产的责任,以保证落实资产保护的职责。
  4. 筛选关键人员。防范内部安全威胁与避免受到外部攻击同样重要。预防性措施包括对访问敏感文件的员工进行背景调查,制定相关政策避免员工有意或无意破坏关键系统及数据。
  5. 实际保护信息资产。企业主要计算机设备安装在何处?您不必建立专用计算机中心,只需找一个白天或夜间值班时员工不能随便进入,实行严格安全措施的房间安装服务器。
  6. 实行有效网络管理。许多企业未正确制定计算机系统操作制度。因此,当IT人员更换时,关键信息不能与新员工交接。这种情况会造成系统故障、数据丢失或破坏保密性。
  7. 制定严格的访问控制规定。员工可以在自己的计算机上安装第三方软件吗?您的企业规定了员工访问内部信息的级别吗?企业应对授予员工的用户许可做出严格规定。这样不仅可以避免未经授权访问机密数据,而且可以保证计算资源的完整性,避免出现安装非授权软件的责任事故。
  8. 制定新系统与应用软件的安全措施。如果安装新系统与软件,一定要保证与现有系统兼容,以免发生故障,同时配置相应的安全级别,从而不留下新的攻击隐患。例如,许多防火墙产品出厂时设置为最低安全级别,因此不足以保护您的网络。
  9. 制定业务连续性计划。您具备火灾、洪水、计算机病毒或系统故障的恢复能力吗?制定业务连续性流程或连续性计划,可保证企业在发生灾难时具有相应预案,将业务中断降至最小程度,并迅速恢复运营所需的必要应用。
  10. 遵守即定规则与规定。应落实相关的制度管理,不仅遵守联邦、州及地方的企业管理法,而且遵守软件许可等版权法。此外,重要的企业记录需要保存在保险箱中,以便为遵守规定或一旦面临的民事或刑事起诉提供证据。
  可靠的安全是业务的保障
  在执行这10项措施时,请记住,信息安全不仅仅是技术问题―而且要上升到业务认识的高度。毕竟,对于小企业来说,知识产权也许是唯一最重要的资产(除人的因素外)。因此,资产一定要成为您核心业务战略的一部分。
  安全还是一个逐步完善的过程,而不可能一劳永逸。随着业务的变化,您应不断更新文档和制度。定期检查硬件和软件供应商提供的最新安全补丁。您的互联网服务提供商一定要具备足够的安全和业务连续性保护能力。
商业秘密网微信公众二维码