中小企业的网络安全指南.docx

中小企业的网络安全指南全文共7页，当前为第1页。中小企业的网络安全指南全文共7页，当前为第1页。中小企业的网络安全指南 中小企业的网络安全指南全文共7页，当前为第1页。 中小企业的网络安全指南全文共7页，当前为第1页。 COVID-19危机表明了互联网和计算机对中小企业的重要性。为了在COVID-19期间蓬勃发展，许多中小企业不得不采取业务连续性措施，如采用云服务、改善其互联网服务、升级其网站和允许工作人员远程工作。 本指南为中小企业提供12个切实可行的步骤，以加强系统和业务的安全。 STEP 1：培养良好的网络安全文化 分配管理责任 良好的网络安全状态是所有中小企业成功的关键因素。这一关键职能的责任应分配给组织内的某个人，此人应确保适当的资源，如人员时间、网络安全软件、服务和硬件的采购、员工培训和网络安全有效政策的制定。 获得员工的支持 通过与管理层就网络安全问题进行有效沟通，管理层应支持网络安全措施，向员工提供适当的培训，并向员工提供网络安全政策中列出的明确而具体的规则，从而获得员工的支持。 发布网络安全准则 中小企业的网络安全指南全文共7页，当前为第2页。中小企业的网络安全指南全文共7页，当前为第2页。应该在网络安全政策中为员工概述清楚和具体的规则，关于他们在使用公司的ICT环境、设备和服务时应该如何表现。这些政策还应该强调员工如果不遵守这些政策可能面临的后果。这些政策需要定期审查和更新。 中小企业的网络安全指南全文共7页，当前为第2页。 中小企业的网络安全指南全文共7页，当前为第2页。 进行网络安全审计 定期审核应由具有适当知识、技能和经验的人员进行。审计人员应该是独立的，无论是外部承包商还是中小企业内部，并且独立于日常it操作。 牢记数据保护 根据欧盟一般数据保护条例，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业，都需要确保适当的安全控制措施来保护该数据。这包括确保所有代表中小企业工作的第三方都有适当的安全措施。 STEP 2：提供适当的安全培训 定期对所有员工进行网络安全意识的培训，确保他们能够识别并应对各种网络安全威胁。这些培训应为中小企业量身定制，并以现实生活为重点。为企业内部负责网络安全管理的人员提供专门的网络安全培训，以确保他们具备从事其工作所需的技能和能力。 STEP 3：确保有效的第三方管理 确保所有供应商，特别是那些能够访问敏感数据和系统的供应商，得到有效的管理，并达到商定的安全级别。应该有合同协议来规范供应商如何满足这些安全要求。 中小企业的网络安全指南全文共7页，当前为第3页。中小企业的网络安全指南全文共7页，当前为第3页。STEP 4：制定事件响应计划 中小企业的网络安全指南全文共7页，当前为第3页。 中小企业的网络安全指南全文共7页，当前为第3页。 制定正式的事件应急计划，包括明确的指导方针、角色和责任，以确保所有安全事故以及时、专业和适当的方式作出反应。要快速响应安全威胁，请调查可以在可疑活动或安全漏洞发生时监视和创建警报的工具。 STEP 5：确保安全的访问系统 鼓励每个人使用密码短语（passphrase），将至少三个随机的常用单词组合成一个短语，提供记忆和安全性的非常好的组合。 如果要使用一个传统的密码: 长一点，用大写字母和小写字母，也可以是数字和特殊字符。 避免使用明显的字符，如"password"；字母或数字的序列如"abc"，数字如"123"。 避免使用可以在网上找到的个人信息。 以及无论你是使用passphrases还是passwords 不要在其他地方重复使用它们。 不要和同事分享。 使用多因素身份验证。 使用专用的密码管理器。 STEP 6：确保设备安全 中小企业的网络安全指南全文共7页，当前为第4页。中小企业的网络安全指南全文共7页，当前为第4页。确保员工使用的设备安全，无论是台式电脑、笔记本电脑、平板电脑还是智能手机，都是网络安全项目的关键一步。 中小企业的网络安全指南全文共7页，当前为第4页。 中小企业的网络安全指南全文共7页，当前为第4页。 保持软件补丁和最新 理想情况下，使用一个集中的平台来管理补丁。建议中小企业: 定期更新所有软件。 尽可能打开自动更新。 确定需要手动更新的软件和硬件。 关注移动和物联网设备。 杀毒 应在所有类型的设备上实施集中管理的杀毒解决方案，并不断更新，以确保其始终有效。另外，不要安装盗版软件，因为它可能包含恶意软件。 使用电子邮件和网络保护工具 采用解决方案，阻止滥发的电子邮件、含有恶意网站链接的电子邮件、含有恶意附件(如病毒)的电子邮件和钓鱼电子邮件。 加密 通过加密保护数据。中小型企业应确保存储在移动设备(如笔记本电脑、智能手机和表)上的数据是加密的。对于通过公共网络传输的数据，如酒店或机场WiFi网络，请确保数据是加