中小企业信息安全规划的10个必备步骤（一）

作者：Linda Tucci   译者：冯昀晖   来源：TechTarget中国



【TechTarget中国原创】美国国家标准与技术研究院（NIST）是一家非常规的联邦机构，隶属于美国商务部，该机构旨在帮助小型企业和公司实施基本的有效的信息安全规划，并对一般的安全操作方法提供安全手册最终稿。事实证明，NIST标准对更大型公司的远程办公室也是适用的，因为在这种远程办公室，IT员工通常比较少甚至没有，因此员工承担更多关于信息安全的责任就显得非常重要了。

　　据美联社报道，美国特工处强调，参议员国土安全和政府事务委员会证实网络犯罪的目标有向 业发展的趋势， 业（SMB）面临的网络危险是他们还没有更新计算机的安全规划。

　　Michael Merritt是特勤处调查办公室的主任助理，他说，大部分攻击是通过海外犯罪集团查找窃取敏感财务数据和个人信息发生的。

　　Phil Reitinger是国土安全部国家保护和计划局副部长，他告诉委员会称87%的违规行为可以通过“简单易行当即生效”的预防性措施进行防御。

　　NIST的安全手册——“小型企业信息安全基本原则”是Richard Kissel的杰作，他是NIST计算机安全部的一位计算机科学家。该手册目前还是草稿形式，但是很快将落实，手册定位假定使用者不是技术专家，这是由Kissel多年从事小型企业安全教育，教给企业拥有者和主管如何保护他们的信息、系统和网络的经验中积累出来的。

　　Kissel说：“他们不知道该怎么做。”他的听众包括：印刷工，技工，医生，牙医等等，他们在各自的专业领域非常在行，“但是他们不懂IT，也就没有信息安全的概念。”更令他担忧的就是NIST的研讨会，该研讨会是与FBI和小企业管理局共同召开的，每年平均有1000家企业参加。但是在美国有2500万 业，占所有新就职空间的50%，这1000家企业只是九牛一毛。

　　Kissel说：“我们认为，如果可能的话，我们要设计一个文档，非常小而且简单易读的文档，可以告诉人们如何做事情才能‘保护你的信息、系统和网络’，这样通过这份文档就可以帮助到更多的人。”

　　这份20页的小册子列举出了10项“绝对必须”的行为，都是以比较简单直白的方式进行描述的，小型企业可以采用这些步骤来保护它们的信息、系统和网络。另外还列举了10项“极力推荐”的实践，这些条目都在后文列出来了。该手册中还包含有一段简短的关于可持续性和灾备规划内容，还有针对信息安全的企业策略。

小册子在哪里？？

:dizzy:

没发完整吧

的确好帖子，推荐加精华