上一篇的内容,我们知道了网络安全管理对于中小企业具有非常重大的意义。
http://www.cnetsec.com/article/20769.html
风险无处不在,我们每天都要基于风险做出决定。
想象一下我们开车上班要面临哪些风险?也许是堵车,也许是雨雪天气,也许遇到一个“新手上路”,也许遇到车子抛锚、刹车失灵这样的状况…风险数不胜数,其中不乏可能产生严重后果的风险,我们又没有精力面面俱到将他们完全消除,为什么我们还敢开车呢?
因为无形中我们都是做过风险评估和管理的,针对那些重要的风险,采取必要的措施,从而降低风险。
车祸会造成严重影响,但发生概率不高,所以大家会注意系安全带、不在开车时打电话;堵车虽不会威胁生命,但会造成迟到的影响,发生概率很高,所以大家在出行前都会查看路况,选择通畅的道路。
类似的,在公司的网络安全风险管理中,想面面俱到必然投入巨大,这对成本有限的中小企业显然不现实,因此要集中资源去管理最关键的风险,资源用在“刀刃”上。
那么,该如何挑选出对于自己最关键的那几个值得好好管理的安全风险呢?
基本思路是:重要度 = 影响力 * 可能性
重要度:代表一种风险的重要程度,值越大,重要度越高,越需要好好管理。
影响:代表风险真的发生了产生影响的程度,仍以开车为例,车祸风险的影响很大,堵车的影响就较小。
可能性:代表风险发生的可能性。
下面,我们用三步来流程化讲解具体如何实施:
影响力判断
第一步,给你的数据按影响力分级
拿出一张纸写下你在工作中接触到的所有类型的数据(如果觉得自己考虑的不够周全,可以叫上你的项目经理、行政、法律顾问和IT人员共同商讨),针对每类数据,问自己三个问题:
并按照他们影响力等级(低中高)填写下面这个表格:
数据需要依托硬件存储和软件的处理,因此对于这些硬件和软件,我们也要关注。
实际上,数据并不是集中在一个地方的。比如客户联系方式这一类别的数据,它可能同时存在在客户管理系统中、某些员工的手机或其他设备中,为了统一管理,我们需要在下面这个表中详细的列出来,并给出总体影响力的评分。
可能性计算
第二步,评估数据遭到破坏的可能性
那么,整理出的这些数据,遭到破坏的可能性有多大呢?中小企业应该根据自身业务特点,总结出一个安全风险与薄弱环节的清单,并根据上一节表二的内容,评估出某数据载体(硬件设备或软件)在发生泄漏、篡改、损坏时的可能性。
经过这两步,我们就可以根据
重要度 = 影响力 * 可能性
评估出,到底哪些数据是最重要的,最需要优先考虑保护的。
在上表中我们可以看到,当影响与可能性双高,优先级高,中小企业应当优先考虑解决这部分的数据防护问题。
知道什么数据最重要还是搞不定?你需要帮助
社会分工的结果让我们可以享受到更多的专业服务,在网络安全领域也不例外,专业的事应该交给专业的人来做。当你了解自己企业面临的网络安全问题后,就可以考虑选择谁来提供服务了。
以上,我们利用了一个公式、两个步骤、三个表格找到了对于一个中小企业最应该关注的网络安全环节,并提供了后续挑选服务商的方法。
在下一期《中小企业网络安全怎么搞?》中,我们将给大家提供一些简单可行的网络安全管理方法供中小企业使用。
关于网康科技:
网康科技成立于2004年,是中国上网行为管理理念的缔造者和下一代网络安全管理的引领者。作为业界最具技术创新和产品研发实力的企业之一,拥有200多项自主知识产权与发明专利,拥有一流的互联网内容研究实验室和网络安全攻防实验室,并缔造了“全球最大的中文网页分类数据库”和“中国最大的网络应用协议库”。 网康科技紧密关注并深刻理解网络安全威胁与网络应用层的技术趋势和需求变化,为客户提供更智能、更完整、更及时、更高效的下一代网络安全解决方案与安全服务,致力于成为中国企业网络安全领导厂商。
做这个系列的目的:
大企业关注网络安全大家觉得合情合理,但是当提到中小企业网络安全的时候,很多人会觉得中小企业没有必要过于关注自己的网络安全,因为——反正也没什么“值钱”的东西。然而,中小企业一旦面临攻击,不管是来自黑客攻击、内部商业信息泄露亦或是来自自然灾害的侵害,损失可能比大企业要更多。一次严重的网络安全事故,可能就让抗风险能力较低的中小企业,面临关门的风险。
本系列基于NIST最新发布的中小企业网络安全标准,一步步告诉中小企业,如何用最低的成本,做成网络安全管理这件大事儿。
这是你系统了解中小企业网络安全管理方法的最佳机会。