编写不糟糕的网络安全政策的 17 个很酷的技巧

已发表: 2022-06-08

网络安全政策在某些方面是一种法律样板,其责任由政策制定者承担。 但就像所有的法律著作一样,没有什么是明显对或错的。 因此,很容易说您需要网络安全策略。 更难到达那里。 这里有 17 个步骤来创建一个不糟糕的高质量网络安全政策。

我们都知道网络安全的重要性,尤其是对于处理高度敏感信息的组织而言。 毕竟,一次数据泄露造成的损失可能会对您的公司造成严重影响。 但即使考虑到违规的潜在后果,编写有效的网络安全政策也可能是一项挑战。

广告

创建策略时需要考虑许多因素,例如如何处理报告违规行为或员工丢失移动设备时应采取的程序。 确保您涵盖所有基础的最佳方法是从以下 17 个提示开始:

目录显示
  • 1.不要捏造它!
  • 2. 不要过于复杂!
  • 3.让它变得有趣!
  • 4. 链接奖励!
  • 5. 确保你得到所有相关人员的支持
  • 6. 从“为什么”开始
  • 7.了解你的听众
  • 8. 使用“网络边界”而不是“防火墙”
  • 9. 不要使用“黑客”这个词
  • 10. 使用“数据”而不是“信息”
  • 11. 不要使用“脆弱和弱点”这个词
  • 12. 使用“软件”,而不是“应用程序”或“应用程序”
  • 13.使用“关系数据库”,而不是“关系数据库管理系统”或(即Oracle)
  • 14. 在行话上放轻松
  • 15. 了解你的目标
  • 16. 简短
  • 17. 了解您的风险
  • 结论

1.不要捏造它!

第 1 点

您可能会想跳过这一步。 但是,如果您要实施网络安全政策,则需要明确和彻底。 如果政策的某些部分读起来像是为另一个系统设计的,或者是由您以外的其他人编写的,那么它就是行不通的。 确保每个部分都很简短,并清楚地解决您的员工可能遇到的任何问题。

为您推荐:人为错误导致网络安全漏洞的 7 种方式。

2. 不要过于复杂!

第 2 点

另一方面,如果您尝试解决网络安全政策中的所有可能情况,几乎可以保证没有人会完全阅读它。 如果没有人知道有一个政策有什么好处? 保持简单,这样人们就不会感到困难。

3.让它变得有趣!

第 3 点

有些人可能没有意识到这一点。 但如果你让网络安全政策变得有趣,更多的人会真正阅读它并尝试从中学习。 不需要太多; 只是在这里和那里添加一些玩笑的语言,或者在附录中添加一些猫的愚蠢图片。 这种小小的接触将在确保每个人都遵守规则方面发挥重要作用!

网络安全-互联网-计算机-网络-保护-隐私-安全

广告

4. 链接奖励!

第 4 点

如果您希望人们遵循网络安全政策,请将其与他们真正想要的东西(比如加薪)联系起来。 不要只是随意加薪,让他们依赖于员工对你的规则和指导方针的接受程度。 你会激励他们,而不仅仅是承诺给他们加薪!

5. 确保你得到所有相关人员的支持

第 5 点

如果一群人知道他们将负责遵守该政策并让他们感到紧张,那就不好了 - 如果他们不觉得自己参与了政策的制定并且他们不参与其中,那么他们就不会遵循它。 将它们包括在过程中; 确保没有人感到被忽视,这样这些政策才能最适合每个人。

6. 从“为什么”开始

第 6 点

写下您的企业整理此文件的原因。 例如,如果您担心被黑客入侵,请将“确保我们公司的安全”作为公司使命宣言的一部分,然后专注于保护您的网络免受黑客攻击。

7.了解你的听众

第 7 点

你想保护谁的安全? 您是否试图保护客户或员工? 两者呢? 定义您的受众可以帮助您了解谁应该阅读本政策,还可以帮助您决定在文档的某些部分中使用什么语言。

勒索软件-恶意软件-网络安全-病毒-间谍软件-犯罪-黑客攻击-垃圾邮件

广告

8. 使用“网络边界”而不是“防火墙”

第 8 点

这似乎是一个很小的变化,但使用防火墙这个词会立即让您的听众处于守势。 他们的技术含量越高,他们就越会认识到防火墙是一个仅供网络内部人员使用的术语。 对于其他人来说,这是一个令人困惑的词,听起来它属于不同的领域。

此外,如果您想避免陷入关于究竟是什么构成“网络”的复杂讨论,您将需要使用比“网络边界”更不明确的语言。

9. 不要使用“黑客”这个词

第 9 点

除非指的是具有广泛计算机或网络知识的人,他们将其技能用于非法目的。 这个词仅指计算机犯罪分子,因此在您的文档的其余部分中不需要它,它会给您的读者造成混淆。

使用术语“攻击者”。 很明显,攻击者有恶意,而黑客只是喜欢寻找利用软件和硬件来获取乐趣和利润的方法!

10. 使用“数据”而不是“信息”

第 10 点

这听起来可能违反直觉,因为“信息”在技术上是“数据”的一个子集,但您希望人们将数据视为具有内在价值的东西,而信息在被分析或与其他信息相结合之前没有真正的价值。

数据是一个更现代的信息词,也更精确。 信息可以是任何形式的数据,但数据总是以某种格式结构化。 例如,它可以是存储在电子表格文件中的数字、服务器目录上的一系列文件,甚至只是纯文本(即本文的内容)。

广告

数据这个词更容易理解,因为它直接指的是特定的格式,而不是暗示它一定是完整的或复杂的。

您可能会喜欢:您的企业网络安全所需的文件和协议。

11. 不要使用“脆弱和弱点”这个词

第 11 点

使用带有负面含义的词语会使你的写作听起来不专业。 漏洞或弱点可能会被您的读者视为负面词,因此不应在安全策略中使用。 其他任何可能被视为负面词的词(例如妥协或威胁)也是如此。

密码网络安全黑客锁

最好使用具有积极含义的词,例如力量或保护。 这有助于从一开始就建立积极的基调,并有助于将读者的注意力引向您希望他们关注的内容:编写安全策略的积极方面。

12. 使用“软件”,而不是“应用程序”或“应用程序”

第 12 点

“软件”这个词比其他任何经常令人困惑的术语更专业,更不容易被滥用。 例如,应用程序用于在您的计算机上运行程序,而应用程序类似于手机应用程序,用于玩游戏或跟踪卡路里(这不是您在考虑网络安全问题时想要考虑的)。

13.使用“关系数据库”,而不是“关系数据库管理系统”或(即Oracle)

第 13 点

不要让特定品牌接管您的文档! 这里的想法是描述性的,而不是品牌特定的。 相信我们,如果您正在为学校或有许多员工的商业综合体的办公室编写此政策,您会很高兴您这样做了,因为每个人都会理解您所说的关系数据库的含义,即使他们使用不同的品牌。日常工作生活。

广告

14. 在行话上放轻松

第 14 点

大多数政策适用于非技术人员和管理人员,因此请尽可能用通俗易懂的术语解释技术术语。 不要让人们不得不查找他们不知道的单词才能理解你想说的话。 该政策应该足够易于访问,以至于他们可以简单地阅读它,而不必每隔几句话就咨询外部资源。

网络安全保护隐私加密安全密码防火墙访问

15. 了解你的目标

第 15 点

如果您想保护自己免受经济损失或被起诉,那么实施某些限制是有意义的。 但是,如果您试图保护自己免受因员工疏忽或行为(即有人访问了对第三方造成伤害的数据)而引起的诉讼,那么您不太可能需要尽可能多的限制。

16. 简短

第 16 点

用户的注意力持续时间很短。 如果您的保单超过一页,那就太长了; 如果超过五页,对于大多数人来说可能太长了,根本懒得看。 当他们试图学习新东西时,没有人愿意阅读百科全书——即使你试图教育他们一些非常重要的东西! 通过使您的政策尽可能简洁,使事情变得简单易读。

17. 了解您的风险

第 17 点

为了设计有效的网络安全策略,组织需要了解哪些数据对他们最重要。 为数据如何受到网络攻击影响的最坏情况做好准备。 每个公司都不一样。 例如,小型企业可能无法获取商业机密或敏感的财务信息; 尽管对他们来说保护他们拥有的信息仍然很重要。

广告
您可能还喜欢:机器学习如何用于网络安全?

结论

业务-云-网络安全-技术-笔记本电脑-办公室-程序员-工作

当付诸实践时,这些技巧应该有助于使编写正式网络安全政策的过程变得不那么令人生畏和压力。 从创建主题到保持简单易懂。 他们希望能有所作为。 因此,当您准备好处理您的网络安全政策时,请务必考虑这 17 条提示; 他们应该大大改善您的最终产品。

 本文由茉莉教皇撰写。 Jasmine 是一位非常称职的作家,她以创作引人入胜的内容的能力而闻名。 她撰写有关时事的文章,并对相关主题进行深入研究。 她的奉献精神和乐观的前景鼓舞了许多有抱负的作家。 她在 Perfect Essay Writing 等各种学术网站上保持活跃,与学生和教授分享她的知识。