一、成立安全虚拟组织
中小企业通常没有安全部门,甚至连IT部门都没有,安全专职人员更是不可能。但安全合规第一个要点就是明确企业安全责任人,因此建议在企业内推动成立安全虚拟组织,例如信息安全领导小组和工作小组,领导小组由企业主要的部门领导组成,工作小组可由技术部门及技术岗位同事负责。
二、编制必要的安全制度文件
标准的“安全四级制度体系”对于中小企业比较难实现,建议关注重要制度文件,但是需要从企业层面和信息系统层面两个维度考虑。
- 企业层面:建议编写一个大制度,比如《网络和数据安全管理制度》,简要明确企业安全工作分工,把网络安全、数据安全和个人信息保护相关安全要求放入其中。先确保从无到有,具体方法上,这类制度可借助网络获取初稿,再根据企业实际情况进行修订。再往后,可以建立《网络和数据安全事件应急管理办法》《账号权限安全规范》等。
- 系统层面:信息系统是网络和数据安全工作的具体落脚点,建议对企业重要的业务系统建立系统层面的制度规范,比如《平台变更管理规范》《平台网络和数据安全应急预案》《平台漏洞管理细则》等内容。如果企业存在重要的业务系统且对外提供服务,可参照网络安全等级保护要求,建立等级保护的系列安全制度,这类制度可复用性较强,往往进行简要修改即能使用。
三、开展安全意识和技能培训
定期组织相关的安全意识或安全技能培训,是成本很小的安全合规工作。频率可以半年一次,培训课件可以是国家安全法律法规的学习、偏向安全意识教育、或信息系统层面安全技能、应急原培训等内容。可以内部自行组织或在相关项目合同中作为一项服务,要求服务商进行交付。重要的是留存“制定培训计划、培训记录登记表、必要的培训考试”等必要的培训记录。
四、组织应急管理及应急演练
安全合规中的重要内容之一,建议先编制一份《网络和数据安全事件应急管理办法》《网络和数据安全应急预案》是基础动作。然后,组织对应急管理办法和预案进行培训,应急文档增加文档修订记录。每年组织开展一次应急预案演练,比如基础的桌面演练,形成相关文档记录。
五、开展低频度的安全检查和风险评估
每年开展1-2次安全检查和安全自评估,检查或评估标准可参考国家相关政策进行精简,重要的不是全面评估,而是抽取其中内容把工作实施开展起来,最后落地形成相关报告进行留档。具体方法上,比如编写安全检查方案、复用网上的安全检查表、安全检查
声明:本文来自数法细语,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于数法细语;编辑/翻译:数字化转型网萍水。
