安全管理最佳安全实践之划定基准线二

很多机构为实施安全措施而提供了最佳实践研讨会和培训班。例如，信息系统审计与控制协会(mⅢ.isaca. com)定期举办类似的研讨会。同样，国际职业安全顾问协会和全球网格论坛也列出了一个最佳实践列表，也可以仔细研读网络门户中已发布的安全最佳实践。许多免费门户都致力于安全维护收集的实践，例如SerchSecurity. com和NIST计算机资源中心。

Gartner Group提出了12个问题，以供最佳安全实践做出自我评估。这些问题分为3类——人员、过程以及技术——它们隐约地反映了NIST方法学中的管理、 操作以及技术领域：

人员

①你是否会检查所有可以访问敏感数据、领域及访问点的雇员的背景？

②一般的雇员是否意识到安全问题？

③他们是否会选择上报问题？

④他们是否知道怎样向适当的人汇报？

过程

⑤企业安全策略是否每年至少井级一次？雇员是否经常培训？是否自始至终都贯彻制定的策略？

⑥你的企业是否采纳补丁／升级管理和评估过程，来对新的安全漏洞区分优先级以及调停。

⑦在前雇员离任之后其账户是否会立即被删除掉？

⑧安全小组代表是否会涉足新项目生命周期的所有阶段？

技术

⑨每一个通往互联网的路由是否都得到了适当的防火墙保护？

⑩便携电脑和远程系统上的敏感数据是否已加密？

⑩你是否经常用漏洞分析工具来扫描你的系统和网络，以发现暴露的安全问题？

⑥是否在全部工作站和服务器上都部署了恶意软件扫描工具？

通过在线完成这些调查，机构可以把它的操作同其他公司进行比较，以提供最佳安全实践比较。