編寫不錯的網絡安全策略的 17 個絕妙技巧

已發表: 2022-06-08

在某些方面,網絡安全政策是一種法律樣板,由政策制定者承擔責任。 但就像所有法律寫作一樣,沒有明顯的對錯之分。 因此,很容易說您需要網絡安全政策。 到達那裡更難。 這裡有 17 個步驟來創建高質量的網絡安全策略。

我們都知道網絡安全的重要性,尤其是對於處理高度敏感信息的組織而言。 畢竟,一次數據洩露造成的損失可能會對您的公司造成嚴重影響。 但即使考慮到違規的潛在後果,編寫有效的網絡安全政策也可能是一項挑戰。

在製定政策時需要考慮許多因素,例如如何處理報告違規行為或如果員工丟失移動設備應該採取什麼程序。 確保涵蓋所有基礎知識的最佳方法是從以下 17 個技巧開始:

目錄顯示
  • 1. 不要捏造它!
  • 2. 不要把它複雜化!
  • 3.讓它變得有趣!
  • 4.與獎勵掛鉤!
  • 5.確保你得到所有相關人員的支持
  • 6. 從“為什麼”開始
  • 7.了解你的聽眾
  • 8.使用“網絡邊界”而不是“防火牆”
  • 9. 不要使用“黑客”這個詞
  • 10.使用“數據”而不是“信息”
  • 11. 不要使用“脆弱和弱點”這個詞
  • 12. 使用“軟件”,而不是“應用程序”或“應用程序”
  • 13.使用“關係數據庫”,而不是“關係數據庫管理系統”或(即Oracle)
  • 14. 少用行話
  • 15.了解你的目標
  • 16. 讓它簡短
  • 17. 了解您的風險
  • 結論

1. 不要捏造它!

第 1 點

您可能想跳過這一步。 但是,如果您要實施網絡安全政策,則需要明確和徹底。 如果政策的某些部分看起來像是為另一個系統設計的,或者是由您以外的其他人編寫的,那麼它就不會起作用。 確保每個部分都很簡短,並清楚地解決您的員工可能遇到的任何問題。

為您推薦:人為錯誤導致網絡安全漏洞的 7 種方式。

2. 不要把它複雜化!

第 2 點

另一方面,如果您試圖解決網絡安全政策中的每一種可能情況,幾乎可以肯定沒有人會完全閱讀它。 如果沒有人知道政策有什麼用? 把事情簡單化,這樣人們就不會感到困難。

3.讓它變得有趣!

第 3 點

有些人可能沒有意識到這一點。 但如果你讓網絡安全政策變得有趣,就會有更多人真正閱讀並嘗試從中學習。 不需要太多; 只需在這里或那裡添加一些有趣的語言,或者在附錄中包含一些貓的愚蠢圖片。 這個小小的接觸將在確保每個人都遵守規則方面發揮重要作用!

網絡安全-互聯網-計算機-網絡-保護-隱私-安全

4.與獎勵掛鉤!

第 4 點

如果您希望人們遵守網絡安全政策,請將其與他們真正想要的東西聯繫起來(比如加薪)。 不要隨意發放加薪,要根據員工對你的規則和指導方針的接受程度來決定。 你會比僅僅承諾給他們加薪更能激勵他們!

5.確保你得到所有相關人員的支持

第 5 點

如果一群人知道他們將被追究遵守政策的責任並讓他們感到緊張是不好的——如果他們不覺得自己參與了政策的製定並且他們沒有參與其中,那麼他們就不會遵循它。 將他們包括在流程中; 確保沒有人感到被排除在外,以便這些政策對每個人都最有效。

6. 從“為什麼”開始

第 6 點

寫下貴公司編制此文件的原因。 例如,如果您擔心被黑客攻擊,請將“確保我們公司的安全”作為您公司使命宣言的一部分,然後專注於保護您的網絡免受黑客攻擊。

7.了解你的聽眾

第 7 點

你想用這份文件保護誰? 您是要保護客戶還是員工? 兩者呢? 定義您的受眾可以幫助您了解誰應該閱讀本政策,還可以幫助您決定在文檔的某些部分使用何種語言。

勒索軟件惡意軟件網絡安全病毒間諜軟件犯罪黑客垃圾郵件

8.使用“網絡邊界”而不是“防火牆”

第8點

這似乎是一個很小的變化,但使用防火牆這個詞會立即讓您的聽眾處於防御狀態。 他們的技術水平越高,他們就越能將防火牆視為僅供網絡內部人員使用的術語。 對於其他人來說,這是一個令人困惑的詞,聽起來像是屬於不同的領域。

此外,如果您想避免陷入關於究竟什麼構成您的“網絡”的複雜討論,您將希望使用比“網絡邊界”更不明確的語言。

9. 不要使用“黑客”這個詞

第9點

除非指的是具有廣泛的計算機或網絡知識的人將其技能用於非法目的。 這個詞只指計算機罪犯,所以在你的文檔的其餘部分不需要它,它會給你的讀者造成混淆。

使用術語“攻擊者”。 很明顯,攻擊者的意圖是惡意的,而黑客只是喜歡尋找利用軟件和硬件獲取樂趣和利潤的方法!

10.使用“數據”而不是“信息”

第 10 點

這聽起來可能違反直覺,因為“信息”在技術上是“數據”的一個子集,但您希望人們將數據視為具有內在價值的東西,而信息在經過分析或與其他信息結合之前沒有真正的價值。

數據是一個更現代的信息詞,也更精確。 信息可以是任何形式的數據,但數據總是以某種格式結構化。 例如,它可以是存儲在電子表格文件中的數字、服務器目錄中的一系列文件,或者甚至只是純文本(即本文的內容)。

數據這個詞更容易理解,因為它直接指的是特定的格式,而不是暗示它一定是完整的或複雜的。

您可能喜歡:您的業務網絡安全所需的文檔和協議。

11. 不要使用“脆弱和弱點”這個詞

第 11 點

使用具有負面含義的詞會使您的寫作聽起來不專業。 漏洞或弱點可能會被讀​​者視為負面詞,因此不應在安全策略中使用。 這同樣適用於任何其他可能被視為否定詞的詞,例如妥協或威脅。

密碼網絡安全黑客鎖

最好使用具有積極含義的詞,例如力量或保護。 這有助於從一開始就建立積極的基調,並有助於將讀者的注意力引向您希望他們關注的內容:編寫安全策略的積極方面。

12. 使用“軟件”,而不是“應用程序”或“應用程序”

第 12 點

“軟件”這個詞比其他任何經常令人困惑的術語都更專業,更不容易被濫用。 例如,應用程序在您的計算機上用於運行程序,而應用程序類似於您用來玩遊戲或跟踪卡路里的手機應用程序(這不是您在考慮網絡安全問題時想要考慮的內容)。

13.使用“關係數據庫”,而不是“關係數據庫管理系統”或(即Oracle)

第 13 點

不要讓特定品牌接管您的文檔! 這裡的想法是描述性的而不是品牌特定的。 相信我們,如果您正在為學校或商業綜合體中有許多員工的辦公室編寫此政策,您會很高興您這樣做了,因為每個人都會理解您所說的關係數據庫的含義,即使他們在他們的產品中使用不同的品牌每天的工作生活。

14. 少用行話

第 14 點

大多數政策適用於非技術人員和管理人員,因此請盡可能以通俗易懂的方式解釋技術術語。 不要讓人們必須查找他們不認識的單詞才能理解您要說的內容。 該政策應該足夠易於訪問,以便他們可以簡單地閱讀它,而不必每隔幾句話就諮詢外部資源。

網絡安全保護隱私加密安全密碼防火牆訪問

15.了解你的目標

第 15 點

如果您試圖保護自己免受經濟損失或被起訴,那麼實施某些限制是有意義的。 但是,如果您試圖保護自己免受因員工疏忽或行為(即有人訪問了對第三方造成傷害的數據)而引起的訴訟,那麼您不太可能需要盡可能多的限制。

16. 讓它簡短

第 16 點

用戶的注意力持續時間很短。 如果您的保單不止一頁,那就太長了; 如果它超過五頁,對於大多數人來說可能太長了根本不會費心閱讀。 沒有人想在嘗試學習新知識時閱讀百科全書 - 即使您正在嘗試向他們介紹一些非常重要的東西! 通過使您的政策盡可能簡潔,使事情簡單易讀。

17. 了解您的風險

第 17 點

為了設計有效的網絡安全政策,組織需要了解哪些數據對他們來說最重要。 為有關數據如何受到網絡攻擊影響的最壞情況做好準備。 每個公司都不一樣。 例如,小型企業可能無法獲得商業秘密或敏感的財務信息; 儘管保護他們所擁有的信息對他們來說仍然很重要。

您可能還喜歡:機器學習如何用於網絡安全?

結論

商業云網絡安全技術筆記本電腦辦公室程序員工作

在付諸實踐時,這些技巧應該有助於使編寫正式的網絡安全政策的過程變得不那麼令人生畏和壓力。 從創建主題到保持主題簡單易懂。 他們有望讓一切變得不同。 因此,當您準備好應對您的網絡安全政策時,請務必考慮這 17 條提示; 他們應該大大改善您的最終產品。 

 本文由 Jasmine Pope 撰寫。 Jasmine 是一位非常稱職的作家,以創作引人入勝的內容而著稱。 她撰寫有關時事的文章,並對相關主題進行深入研究。 許多有抱負的作家都被她的奉獻精神和樂觀的前景所鼓舞。 她在 Perfect Essay Writing 等各種學術網站上保持活躍,在那裡她與學生和教授分享她的知識。