信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

隨著企業(yè)組織數(shù)字化轉(zhuǎn)型的深入發(fā)展，其IT基礎(chǔ)設(shè)施的邊界不斷擴(kuò)展，許多員工采取了遠(yuǎn)程或混合工作模式，基于云的服務(wù)已成為常態(tài)，邊緣計(jì)算和物聯(lián)網(wǎng)應(yīng)用也在持續(xù)增長(zhǎng)。在此背景下，企業(yè)必須實(shí)施更加規(guī)范的IT管理制度和流程，并在新的技術(shù)用例出現(xiàn)時(shí)及時(shí)更新，才能保障企業(yè)數(shù)字化環(huán)境運(yùn)行的安全與穩(wěn)定。而以下5種基礎(chǔ)性IT管理制度，對(duì)于任何處于數(shù)字化轉(zhuǎn)型中的企業(yè)組織而言都是不可或缺的。

一、IT資產(chǎn)使用管理制度

IT資產(chǎn)管理制度是組織網(wǎng)絡(luò)安全計(jì)劃中的基礎(chǔ)要求之一，確保所有的企業(yè)員工都能正確使用IT資產(chǎn)，該制度描述了企業(yè)認(rèn)為怎樣使用資產(chǎn)和數(shù)據(jù)是可接受的。簡(jiǎn)而言之，這項(xiàng)政策解釋了企業(yè)對(duì)員工使用公司IT資產(chǎn)時(shí)提出的要求，明確他們可以做什么、不可以做什么，同時(shí)還包括使用時(shí)的用戶行為。

這項(xiàng)政策對(duì)于維護(hù)企業(yè)IT基礎(chǔ)設(shè)施的完整性和安全性至關(guān)重要，原因包括：

首先，它有助于防止資源濫用，而資源濫用可能導(dǎo)致安全威脅。比如說(shuō)，員工可能因訪問(wèn)未經(jīng)授權(quán)的網(wǎng)站或使用不安全的個(gè)人設(shè)備而無(wú)意中下載惡意軟件。

其次，有助于保護(hù)敏感數(shù)據(jù)，提供了如何處理、存儲(chǔ)和傳輸數(shù)據(jù)方面的指南，這對(duì)于確保遵守?cái)?shù)據(jù)保護(hù)法規(guī)至關(guān)重要。

二、AI技術(shù)應(yīng)用制度

人工智能（AI）對(duì)許多企業(yè)來(lái)說(shuō)越來(lái)越重要，但這項(xiàng)技術(shù)也存在著風(fēng)險(xiǎn)，用戶需要在如何正確使用工具和數(shù)據(jù)方面接受指導(dǎo)。企業(yè)需要為AI技術(shù)應(yīng)用制定清晰的可接受使用制度。如果已有關(guān)于數(shù)據(jù)泄露的制度，則應(yīng)予以更新，添加針對(duì)大語(yǔ)言模型（LLM）的具體內(nèi)容。比如說(shuō)，政策應(yīng)明確規(guī)定禁止向ChatGPT等工具輸入使用公司信息作為提示。

企業(yè)不僅要制定可接受的AI技術(shù)應(yīng)用制度，還要通過(guò)已定義的保護(hù)措施來(lái)落實(shí)這些制度要求。實(shí)施這些措施有助于防范未經(jīng)授權(quán)的數(shù)據(jù)使用和潛在的安全漏洞。越來(lái)越多的公司在不再允許使用專有數(shù)據(jù)進(jìn)行LLM模型訓(xùn)練，這有助于避免風(fēng)險(xiǎn)，并確保企業(yè)牢牢控制AI的使用。

三.數(shù)據(jù)安全管理制度

保護(hù)數(shù)據(jù)資產(chǎn)（尤其是高度敏感的信息）是IT管理制度的關(guān)鍵部分。企業(yè)應(yīng)制定并實(shí)施一項(xiàng)數(shù)據(jù)保護(hù)和隱私的管理制度，以確保遵守?cái)?shù)據(jù)保護(hù)法規(guī)并保護(hù)個(gè)人數(shù)據(jù)。這應(yīng)該包括：數(shù)據(jù)收集、處理和保留方面的指南，政策執(zhí)行機(jī)制，數(shù)據(jù)存儲(chǔ)和傳輸方面的安全控制措施以及數(shù)據(jù)泄露響應(yīng)程序。

此外，企業(yè)需要數(shù)據(jù)保留和處置政策，從而為保留和安全處置數(shù)據(jù)明確指導(dǎo)原則。這需要包括基于數(shù)據(jù)分類的數(shù)據(jù)保留時(shí)間表、安全處置不再需要用于合法商業(yè)用途的數(shù)據(jù)的程序、遵守?cái)?shù)據(jù)保留的法律法規(guī)要求以及數(shù)據(jù)處置活動(dòng)的文檔和審計(jì)記錄。

四.安全事件響應(yīng)制度

網(wǎng)絡(luò)攻擊事件難以避免，因此企業(yè)需要在發(fā)生任何類型的數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊時(shí)，讓安全團(tuán)隊(duì)能夠快速做好響應(yīng)的準(zhǔn)備。事件響應(yīng)時(shí)間的長(zhǎng)短可能決定了組織最終的危害和損失程度。

安全事件響應(yīng)制度概述了管理和響應(yīng)網(wǎng)絡(luò)安全事件的方法。這應(yīng)該包括：界定何謂事件，明確事件響應(yīng)團(tuán)隊(duì)的角色和責(zé)任，事件檢測(cè)、分析、遏制、根除和恢復(fù)的步驟，規(guī)定在多長(zhǎng)時(shí)間內(nèi)由誰(shuí)上報(bào)相關(guān)機(jī)構(gòu)，以及事件后的審查和改進(jìn)流程。

事件響應(yīng)可能是為管理和保護(hù)公司信息資產(chǎn)確立框架的總體信息安全政策的一部分。這應(yīng)該包括信息安全的目標(biāo)和范圍、與信息安全相關(guān)的角色和責(zé)任以及總體安全原則和實(shí)踐。

五.遠(yuǎn)程訪問(wèn)管理制度

在數(shù)字化環(huán)境下，企業(yè)原有的工作模式已經(jīng)改變，很多員工需要在家或遠(yuǎn)程工作。混合/遠(yuǎn)程模式帶來(lái)了一系列安全挑戰(zhàn)。比較常見(jiàn)的風(fēng)險(xiǎn)包括：更大的攻擊面、未遵守?cái)?shù)據(jù)隱私法規(guī)、更容易遭到網(wǎng)絡(luò)釣魚(yú)及其他攻擊，以及用來(lái)訪問(wèn)企業(yè)系統(tǒng)和數(shù)據(jù)的設(shè)備和網(wǎng)絡(luò)沒(méi)有采取適當(dāng)?shù)陌踩胧?/p>

企業(yè)需要制定有關(guān)遠(yuǎn)程訪問(wèn)的管理制度，該制度必須兼顧網(wǎng)絡(luò)安全性和可訪問(wèn)性。由于金融服務(wù)和醫(yī)療保健等領(lǐng)域的法規(guī)增加，加上全球范圍內(nèi)數(shù)據(jù)隱私和保護(hù)法律紛紛出臺(tái)，這項(xiàng)任務(wù)變得很艱巨。如果遵守嚴(yán)格的遠(yuǎn)程訪問(wèn)管理制度，企業(yè)可以保護(hù)基礎(chǔ)設(shè)施并鼓勵(lì)創(chuàng)新。