非营利组织网络安全教育系列-政策和培训
在非营利组织网络安全教育系列的最后一部分中,我们将讨论为一个健壮的信息安全项目应采取的政策和流程,以及为安全意识培训应开展的活动。
资讯科技政策及标准
为了保护组织和员工不受组织内潜在风险的影响,应该建立并遵守IT政策和信息安全标准。策略是意图文档,而标准通常充当实施策略遵从性的规则。作为最佳实践,非营利组织应该建立一个信息安全计划,包括以下政策(如适用):
数据管理和分类策略
- 该策略应该定义跨组织的数据管理和使用,以及定义数据标记方法(机密的、公开的或内部的)。
流动设备政策
- 该策略应该定义如何在组织中使用和保护移动设备。
网络和远程访问策略
- 该策略应该建立标准,指定谁被授权连接到内部网络和远程网络,以及在什么条件下,它还应该定义员工可接受的使用。
变更管理政策
- 此策略应该定义在环境中进行计划和计划外更改所需的过程和批准。这个过程应该包括沟通、工作流程、批准和例外情况。
供应商管理政策
- 该政策应该作为评估(尽职调查和风险排名)和潜在第三方供应商的路线图。
此外,应制定以下政策,这些政策可以纳入信息安全计划,也可以单独执行:
业务连续性和灾难恢复策略
事件应变政策
- 应该制定一个策略,确定如何准备、检测和响应安全事件。
保安意识培训
拥有精明且训练有素的用户有助于降低非营利领域的风险。针对最终用户的IT和安全意识培训应通过正式的培训渠道包括信息安全主题,以便每年进行培训并跟踪其符合性。主题应包括:
- 密码强度和机密性
- 锁定和注销计算机
- 文档的破坏
- 数据丢失风险(可移动媒体、电子邮件、第三方存储网站、社交媒体帖子)
- 可接受的使用
- 社会工程和网络钓鱼
- 应该定期进行社会工程测试,以测试员工对社会工程实践和员工行为的理解,以防止成功的社会工程尝试。应该定期进行网络钓鱼测试,以测试员工的反应和培训,以降低员工允许攻击者通过其行为(如点击虚假链接或在恶意网站上输入登录凭证)破坏访问的可能性。
本内容由Javier Young撰写,CLA的网络安全负责人。
CLA如何提供帮助?
CLA的网络安全团队对当前的威胁环境有深刻的理解,可以帮助进行漏洞评估、意识培训和/或其他网络安全关注/需求。不要单独行动。了解更多在这里,如果你有什么问题就来找我。
此外,10月是网络安全宣传月。如果对更多网络安全内容和思想领导力感兴趣,请务必查看并订阅CLA的网络安全的博客。看看CLA网络安全团队本月将推出哪些新产品(2022年CLA网络安全宣传月!),请参加我们即将举行的网络研讨会(Microsoft 365安全:您的组织数据安全吗?).
与我们为非营利组织提供的网络安全教育系列保持同步
Robert是一名注册会计师,有为许多社会服务组织、私立学校和其他类型的非营利组织提供保证、咨询和合规服务的经验。