本文来自微信公众号“安全牛”。
随着企业组织数字化转型的深入发展,其IT基础设施的边界不断扩展,许多员工采取了远程或混合工作模式,基于云的服务已成为常态,边缘计算和物联网应用也在持续增长。在此背景下,企业必须实施更加规范的IT管理制度和流程,并在新的技术用例出现时及时更新,才能保障企业数字化环境运行的安全与稳定。而以下5种基础性IT管理制度,对于任何处于数字化转型中的企业组织而言都是不可或缺的。
一、IT资产使用管理制度
IT资产管理制度是组织网络安全计划中的基础要求之一,确保所有的企业员工都能正确使用IT资产,该制度描述了企业认为怎样使用资产和数据是可接受的。简而言之,这项政策解释了企业对员工使用公司IT资产时提出的要求,明确他们可以做什么、不可以做什么,同时还包括使用时的用户行为。
这项政策对于维护企业IT基础设施的完整性和安全性至关重要,原因包括:
首先,它有助于防止资源滥用,而资源滥用可能导致安全威胁。比如说,员工可能因访问未经授权的网站或使用不安全的个人设备而无意中下载恶意软件。
其次,有助于保护敏感数据,提供了如何处理、存储和传输数据方面的指南,这对于确保遵守数据保护法规至关重要。
二、AI技术应用制度
人工智能(AI)对许多企业来说越来越重要,但这项技术也存在着风险,用户需要在如何正确使用工具和数据方面接受指导。企业需要为AI技术应用制定清晰的可接受使用制度。如果已有关于数据泄露的制度,则应予以更新,添加针对大语言模型(LLM)的具体内容。比如说,政策应明确规定禁止向ChatGPT等工具输入使用公司信息作为提示。
企业不仅要制定可接受的AI技术应用制度,还要通过已定义的保护措施来落实这些制度要求。实施这些措施有助于防范未经授权的数据使用和潜在的安全漏洞。越来越多的公司在不再允许使用专有数据进行LLM模型训练,这有助于避免风险,并确保企业牢牢控制AI的使用。
三.数据安全管理制度
保护数据资产(尤其是高度敏感的信息)是IT管理制度的关键部分。企业应制定并实施一项数据保护和隐私的管理制度,以确保遵守数据保护法规并保护个人数据。这应该包括:数据收集、处理和保留方面的指南,政策执行机制,数据存储和传输方面的安全控制措施以及数据泄露响应程序。
此外,企业需要数据保留和处置政策,从而为保留和安全处置数据明确指导原则。这需要包括基于数据分类的数据保留时间表、安全处置不再需要用于合法商业用途的数据的程序、遵守数据保留的法律法规要求以及数据处置活动的文档和审计记录。
四.安全事件响应制度
网络攻击事件难以避免,因此企业需要在发生任何类型的数据泄露或网络攻击时,让安全团队能够快速做好响应的准备。事件响应时间的长短可能决定了组织最终的危害和损失程度。
安全事件响应制度概述了管理和响应网络安全事件的方法。这应该包括:界定何谓事件,明确事件响应团队的角色和责任,事件检测、分析、遏制、根除和恢复的步骤,规定在多长时间内由谁上报相关机构,以及事件后的审查和改进流程。
事件响应可能是为管理和保护公司信息资产确立框架的总体信息安全政策的一部分。这应该包括信息安全的目标和范围、与信息安全相关的角色和责任以及总体安全原则和实践。
五.远程访问管理制度
在数字化环境下,企业原有的工作模式已经改变,很多员工需要在家或远程工作。混合/远程模式带来了一系列安全挑战。比较常见的风险包括:更大的攻击面、未遵守数据隐私法规、更容易遭到网络钓鱼及其他攻击,以及用来访问企业系统和数据的设备和网络没有采取适当的安全措施。
企业需要制定有关远程访问的管理制度,该制度必须兼顾网络安全性和可访问性。由于金融服务和医疗保健等领域的法规增加,加上全球范围内数据隐私和保护法律纷纷出台,这项任务变得很艰巨。如果遵守严格的远程访问管理制度,企业可以保护基础设施并鼓励创新。
