ビジネスの定義と伝達 情報 リスク戦略は、組織全体の中心です サイバーセキュリティ 戦略。
以下で説明する XNUMX つの関連するセキュリティ領域を含め、この戦略を確立することをお勧めします。 あなたのビジネスを守る サイバー攻撃の大部分を防ぎます。
1. リスク管理戦略を設定する
法律、規制、財務、または運用上のリスクと同じエネルギーで、組織の情報とシステムに対するリスクを評価します。
これを達成するには、組織全体にリスク管理戦略を組み込み、経営陣と上級管理者のサポートを受けます。
リスク選好度を判断し、サイバー リスクをリーダーシップの優先事項とし、サポートするリスク管理ポリシーを作成します。
2.ネットワークセキュリティ
ネットワークを攻撃から保護します。
ネットワーク境界を防御し、不正アクセスや悪意のあるコンテンツを除外します。
セキュリティ制御を監視およびテストします。
3. ユーザーの教育と認識
システムの許容範囲内で安全な使用をカバーするユーザー セキュリティ ポリシーを作成します。
スタッフのトレーニングに含めます。
サイバーリスクの認識を維持します。
4. マルウェアの防止
関連するポリシーを作成し、組織全体でマルウェア対策を確立します。
5.取り外し可能なメディア コントロール
リムーバブル メディアへのすべてのアクセスを制御するポリシーを作成します。
メディアの種類と使用を制限します。
企業システムにインポートする前に、すべてのメディアでマルウェアをスキャンします。
6.安全な構成
セキュリティ パッチを適用し、すべてのシステムの安全な構成が維持されるようにします。
システム インベントリを作成し、すべてのデバイスのベースライン ビルドを定義します。
すべて HailBytes 製品 を使用する「ゴールデン イメージ」に基づいて構築されています。 CIS指令 に準拠した安全な構成を確保するための制御 主要なリスクの枠組み.
7. ユーザー権限の管理
効果的な管理プロセスを確立し、特権アカウントの数を制限します。
ユーザー権限を制限し、ユーザー アクティビティを監視します。
アクティビティ ログと監査ログへのアクセスを制御します。
8. インシデント管理
インシデント対応と災害復旧能力を確立します。
インシデント管理計画をテストします。
専門的なトレーニングを提供します。
法執行機関に犯罪事件を報告します。
9。 モニタリング
監視戦略を確立し、サポート ポリシーを作成します。
すべてのシステムとネットワークを継続的に監視します。
攻撃を示す可能性のある異常なアクティビティのログを分析します。
10. 在宅および移動作業
モバイル ワーキング ポリシーを作成し、それを順守するようにスタッフをトレーニングします。
安全なベースラインとビルドをすべてのデバイスに適用します。
転送中と保存中の両方でデータを保護します。
