1. 风险管理制度

通过建立适当的风险管理机制，评估贵组织信息和系统的风险。董事会和高级管理人员应提供支持。确保所有员工、承包商和供应商均了解相关方法及任何适用的风险界限。

2. 安全配置

采用一种方法来识别基线技术构建和确保配置管理的流程可以大大提高系统的安全性。

您应该制定策略，移除或禁用系统中不必要的功能，并快速修复已知漏洞（通常通过补丁程序）。否则，系统和信息被入侵的风险可能会增加。

3.网络安全

从您的网络到互联网和其他合作伙伴网络的连接会使您的系统和技术面临潜在的攻击。

通过制定和实施简单的策略以及适当的架构和技术响应，降低您的系统和技术遭受攻击的可能性。您的组织网络几乎肯定会跨越多个站点，而移动或远程办公以及云服务的使用使得定义固定的网络边界变得困难。与其仅仅关注物理连接，不如思考您的数据存储和处理的位置，以及攻击者可能在哪里干扰它。

4.管理用户权限

如果用户被赋予不必要的系统权限或数据访问权限，则会增加滥用或泄露的风险。所有用户都应获得合理（但最低限度）的系统权限以及其角色所需的权限。授予高级别的系统权限应受到严格控制和管理。此原则有时被称为“最小权限”。

5. 用户教育和意识

用户在组织安全中扮演着至关重要的角色。对员工进行潜在的网络风险教育至关重要，这不仅能确保用户能够正常开展工作，还能帮助维护组织安全。

6. 事件管理

所有组织在某个时候都会遇到安全事件。

投资制定有效的事件管理政策和流程将有助于提高韧性，支持业务连续性，增强客户和利益相关者的信心，并可能减少任何影响。您应该确定公认的专业事件管理专家资源（内部或外部）。

7.恶意软件预防

恶意软件（或恶意软件）是一个涵盖性术语，涵盖任何可能对系统造成恶意、不良影响的代码或内容。任何信息交换都存在一定风险，即恶意软件可能被交换，这可能会严重影响您的系统和服务。制定并实施适当的反恶意软件政策可以降低风险。

8. 监控

系统监控旨在检测针对系统和业务服务的实际攻击或攻击企图。良好的监控对于有效应对攻击至关重要。此外，监控还能确保您的系统按照组织政策得到妥善使用。监控通常是遵守法律或监管要求所需的一项关键能力。

9. 可移动媒体控制

制定策略控制所有可移动介质的访问。限制介质类型和用途。在将所有介质导入公司系统之前，请扫描所有介质中是否存在恶意软件。

10. 居家办公和移动办公

移动办公和远程系统访问带来了诸多益处，但也暴露了需要妥善管理的新风险。应制定基于风险的政策和流程，以支持用户和服务提供商相关的移动办公或远程系统访问。此外，还应对用户进行培训，使其能够在可能的工作环境中安全使用移动设备。

文章来源：豫说网数安