编写不错的网络安全策略的 17 个绝妙技巧

已发表: 2022-06-08

在某些方面,网络安全政策是一种法律样板,由政策制定者承担责任。 但就像所有法律写作一样,没有明显的对错之分。 因此,很容易说您需要网络安全政策。 到达那里更难。 这里有 17 个步骤来创建高质量的网络安全策略。

我们都知道网络安全的重要性,尤其是对于处理高度敏感信息的组织而言。 毕竟,一次数据泄露造成的损失可能会对您的公司造成严重影响。 但即使考虑到违规的潜在后果,编写有效的网络安全政策也可能是一项挑战。

在制定政策时需要考虑许多因素,例如如何处理报告违规行为或如果员工丢失移动设备应该采取什么程序。 确保涵盖所有基础知识的最佳方法是从以下 17 个技巧开始:

目录显示
  • 1. 不要捏造它!
  • 2. 不要把它复杂化!
  • 3.让它变得有趣!
  • 4.与奖励挂钩!
  • 5.确保你得到所有相关人员的支持
  • 6. 从“为什么”开始
  • 7.了解你的听众
  • 8.使用“网络边界”而不是“防火墙”
  • 9. 不要使用“黑客”这个词
  • 10.使用“数据”而不是“信息”
  • 11. 不要使用“脆弱和弱点”这个词
  • 12. 使用“软件”,而不是“应用程序”或“应用程序”
  • 13.使用“关系数据库”,而不是“关系数据库管理系统”或(即Oracle)
  • 14. 少用行话
  • 15.了解你的目标
  • 16. 让它简短
  • 17. 了解您的风险
  • 结论

1. 不要捏造它!

第 1 点

您可能想跳过这一步。 但是,如果您要实施网络安全政策,则需要明确和彻底。 如果政策的某些部分看起来像是为另一个系统设计的,或者是由您以外的其他人编写的,那么它就不会起作用。 确保每个部分都很简短,并清楚地解决您的员工可能遇到的任何问题。

为您推荐:人为错误导致网络安全漏洞的 7 种方式。

2. 不要把它复杂化!

第 2 点

另一方面,如果您试图解决网络安全政策中的每一种可能情况,几乎可以肯定没有人会完全阅读它。 如果没有人知道政策有什么用? 把事情简单化,这样人们就不会感到困难。

3.让它变得有趣!

第 3 点

有些人可能没有意识到这一点。 但如果你让网络安全政策变得有趣,就会有更多人真正阅读并尝试从中学习。 不需要太多; 只需在这里或那里添加一些有趣的语言,或者在附录中包含一些猫的愚蠢图片。 这个小小的接触将在确保每个人都遵守规则方面发挥重要作用!

网络安全-互联网-计算机-网络-保护-隐私-安全

4.与奖励挂钩!

第 4 点

如果您希望人们遵守网络安全政策,请将其与他们真正想要的东西联系起来(比如加薪)。 不要随意发放加薪,要根据员工对你的规则和指导方针的接受程度来决定。 你会比仅仅承诺给他们加薪更能激励他们!

5.确保你得到所有相关人员的支持

第 5 点

如果一群人知道他们将被追究遵守政策的责任并让他们感到紧张是不好的——如果他们不觉得自己参与了政策的制定并且他们没有参与其中,那么他们就不会遵循它。 将他们包括在流程中; 确保没有人感到被排除在外,以便这些政策对每个人都最有效。

6. 从“为什么”开始

第 6 点

写下贵公司编制此文件的原因。 例如,如果您担心被黑客攻击,请将“确保我们公司的安全”作为您公司使命宣言的一部分,然后专注于保护您的网络免受黑客攻击。

7.了解你的听众

第 7 点

你想用这份文件保护谁? 您是要保护客户还是员工? 两者呢? 定义您的受众可以帮助您了解谁应该阅读本政策,还可以帮助您决定在文档的某些部分使用何种语言。

勒索软件恶意软件网络安全病毒间谍软件犯罪黑客垃圾邮件

8.使用“网络边界”而不是“防火墙”

第8点

这似乎是一个很小的变化,但使用防火墙这个词会立即让您的听众处于防御状态。 他们的技术水平越高,他们就越能将防火墙视为仅供网络内部人员使用的术语。 对于其他人来说,这是一个令人困惑的词,听起来像是属于不同的领域。

此外,如果您想避免陷入关于究竟什么构成您的“网络”的复杂讨论,您将希望使用比“网络边界”更不明确的语言。

9. 不要使用“黑客”这个词

第9点

除非指的是具有广泛的计算机或网络知识的人将其技能用于非法目的。 这个词只指计算机罪犯,所以在你的文档的其余部分不需要它,它会给你的读者造成混淆。

使用术语“攻击者”。 很明显,攻击者的意图是恶意的,而黑客只是喜欢寻找利用软件和硬件获取乐趣和利润的方法!

10.使用“数据”而不是“信息”

第 10 点

这听起来可能违反直觉,因为“信息”在技术上是“数据”的一个子集,但您希望人们将数据视为具有内在价值的东西,而信息在经过分析或与其他信息结合之前没有真正的价值。

数据是一个更现代的信息词,也更精确。 信息可以是任何形式的数据,但数据总是以某种格式结构化。 例如,它可以是存储在电子表格文件中的数字、服务器目录中的一系列文件,或者甚至只是纯文本(即本文的内容)。

数据这个词更容易理解,因为它直接指的是特定的格式,而不是暗示它一定是完整的或复杂的。

您可能喜欢:您的业务网络安全所需的文档和协议。

11. 不要使用“脆弱和弱点”这个词

第 11 点

使用具有负面含义的词会使您的写作听起来不专业。 漏洞或弱点可能会被读者视为负面词,因此不应在安全策略中使用。 这同样适用于任何其他可能被视为否定词的词,例如妥协或威胁。

密码网络安全黑客锁

最好使用具有积极含义的词,例如力量或保护。 这有助于从一开始就建立积极的基调,并有助于将读者的注意力引向您希望他们关注的内容:编写安全策略的积极方面。

12. 使用“软件”,而不是“应用程序”或“应用程序”

第 12 点

“软件”这个词比其他任何经常令人困惑的术语都更专业,更不容易被滥用。 例如,应用程序在您的计算机上用于运行程序,而应用程序类似于您用来玩游戏或跟踪卡路里的手机应用程序(这不是您在考虑网络安全问题时想要考虑的内容)。

13.使用“关系数据库”,而不是“关系数据库管理系统”或(即Oracle)

第 13 点

不要让特定品牌接管您的文档! 这里的想法是描述性的而不是品牌特定的。 相信我们,如果您正在为学校或商业综合体中有许多员工的办公室编写此政策,您会很高兴您这样做了,因为每个人都会理解您所说的关系数据库的含义,即使他们在他们的产品中使用不同的品牌每天的工作生活。

14. 少用行话

第 14 点

大多数政策适用于非技术人员和管理人员,因此请尽可能以通俗易懂的方式解释技术术语。 不要让人们必须查找他们不认识的单词才能理解您要说的内容。 该政策应该足够易于访问,以便他们可以简单地阅读它,而不必每隔几句话就咨询外部资源。

网络安全保护隐私加密安全密码防火墙访问

15.了解你的目标

第 15 点

如果您试图保护自己免受经济损失或被起诉,那么实施某些限制是有意义的。 但是,如果您试图保护自己免受因员工疏忽或行为(即有人访问了对第三方造成伤害的数据)而引起的诉讼,那么您不太可能需要尽可能多的限制。

16. 让它简短

第 16 点

用户的注意力持续时间很短。 如果您的保单不止一页,那就太长了; 如果它超过五页,对于大多数人来说可能太长了根本不会费心阅读。 没有人想在尝试学习新知识时阅读百科全书 - 即使您正在尝试向他们介绍一些非常重要的东西! 通过使您的政策尽可能简洁,使事情简单易读。

17. 了解您的风险

第 17 点

为了设计有效的网络安全政策,组织需要了解哪些数据对他们来说最重要。 为有关数据如何受到网络攻击影响的最坏情况做好准备。 每个公司都不一样。 例如,小型企业可能无法获得商业秘密或敏感的财务信息; 尽管保护他们所拥有的信息对他们来说仍然很重要。

您可能还喜欢:机器学习如何用于网络安全?

结论

商业云网络安全技术笔记本电脑办公室程序员工作

在付诸实践时,这些技巧应该有助于使编写正式的网络安全政策的过程变得不那么令人生畏和压力。 从创建主题到保持主题简单易懂。 他们有望让一切变得不同。 因此,当您准备好应对您的网络安全政策时,请务必考虑这 17 条提示; 他们应该大大改善您的最终产品。 

 本文由 Jasmine Pope 撰写。 Jasmine 是一位非常称职的作家,以创作引人入胜的内容而著称。 她撰写有关时事的文章,并对相关主题进行深入研究。 许多有抱负的作家都被她的奉献精神和乐观的前景所鼓舞。 她在 Perfect Essay Writing 等各种学术网站上保持活跃,在那里她与学生和教授分享她的知识。