四张表格助你筛选出关键网络安全隐患——中小企业网络安全怎么搞?(二)

当前位置: 首页 > 关于我们 > 新闻中心 > 新闻快讯 > 2016

关于我们About Us

  • 关于网康

    公司简介
    企业文化
    品牌期刊
  • 新闻中心

  • 视频专区

    产品视频
    客户案例
    媒体专访
    市场活动
  • 公司优势

  • 联系我们

四张表格助你筛选出关键网络安全隐患——中小企业网络安全怎么搞?(二)

     发表日期:2016-12-05 17:42:58

上一篇的内容,我们知道对于抗风险能力低下的中小企业,也许一次网络攻击,就将面临关门的风险。(戳下面链接看中小企业网络安全怎么搞?(一))

为什么中小企业也要重视网络安全管理?

本系列基于NIST前沿发布的中小企业网络安全标准,一步步告诉中小企业,如何用低的成本,做成网络安全管理这件大事儿。

本篇内容将探讨中小企业该如何系统的了解自身存在网络安全风险。

风险无处不在,我们每天都要基于风险做出决定。

想象一下我们开车上班要面临哪些风险?也许是堵车,也许是雨雪天气,也许遇到一个“新手上路”,也许遇到车子抛锚、刹车失灵这样的状况…风险数不胜数,其中不乏可能产生严重后果的风险,我们又没有精力面面俱到将他们完全消除,为什么我们还敢开车呢?

因为无形中我们都是做过风险评估和管理的,针对那些重要的风险,采取必要的措施,从而降低风险。

车祸会造成严重影响,但发生概率不高,所以大家会注意系安全带、不在开车时打电话;堵车虽不会威胁生命,但会造成迟到的影响,发生概率很高,所以大家在出行前都会查看路况,选择通畅的道路。

类似的,在公司的网络安全风险管理中,想面面俱到必然投入巨大,这对成本有限的中小企业显然不现实,因此要集中资源去管理关键的风险,资源用在“刀刃”上。

那么,该如何挑选出对于自己关键的那几个值得好好管理的安全风险呢?

基本思路是:

请输入图片描述

重要度:代表一种风险的重要程度,值越大,重要度越高,越需要好好管理。

影响:代表风险真的发生了产生影响的程度,仍以开车为例,车祸风险的影响很大,堵车的影响就较小。

可能性:代表风险发生的可能性。

下面,我们用两来流程化讲解具体如何评估重要度:

请输入图片描述

拿出一张纸写下你在工作中接触到的所有类型的数据(如果觉得自己考虑的不够周全,可以叫上你的项目经理、行政、法律顾问和IT人员共同商讨),针对每类数据,问自己三个问题:

☞ 如果这类数据被公开,会对我的公司产生什么影响?

☞ 如果这类数据出现谬误,会对我的公司产生什么影响?

☞ 如果我或者我的客户无法访问到这个数据,会产生什么影响?

并按照他们影响力等级(低中高)填写下面这个表格:

请输入图片描述

表一:确定某数据类型的影响力等级

数据需要依托硬件存储和软件的处理,因此对于这些硬件和软件,我们也要关注。

实际上,数据并不是集中在一个地方的。比如客户联系方式这一类别的数据,它可能同时存在在客户管理系统中、某些员工的手机或其他设备中,为了统一管理,我们需要在下面这个表中详细的列出来,并给出影响力的评分。

请输入图片描述

表二:从设备的角度评估潜在影响力

请输入图片描述

那么,整理出的这些数据,遭到破坏的可能性有多大呢?中小企业应该根据自身业务特点,总结出一个安全风险与薄弱环节的清单,并根据上一节表二的内容,评估出某数据载体(硬件设备或软件)在发生泄漏、篡改、损坏时的可能性。

请输入图片描述

表三:表二数据遭到各种破坏的可能性

经过以上这两步,我们就可以根据

请输入图片描述

评估出,到底哪些数据是重要的,非常需要优先考虑保护的。

请输入图片描述

表四:找出重要的那个风险

在上表中我们可以看到,当影响与可能性双高,优先级高,中小企业应当优先考虑解决这部分的数据防护问题。

还是搞不定?你需要帮助

社会分工的结果让我们可以享受到更多的专业服务,在网络安全领域也不例外,专业的事应该交给专业的人来做。当你了解自己企业面临的网络安全问题后,就可以考虑选择谁来提供服务了。

1、 征求意见。你可以问问你的合作伙伴,相关专业的学者,甚至是看看你欣赏的同行业大佬在用什么产品。
2、 查看往期表现。通常网络安全企业都会在自己的官网展示产品,可以查看一下这家企业经营了多少年,是否在业内活跃,曾经做过什么客户,询问这些用户的使用效果,是否还继续购买该企业的服务

以上,我们利用了一个公式、两个步骤、四个表格找到了对于一个中小企业应该关注的网络安全环节,并提供了后续挑选服务商的方法。