Network Box 公告
2010年6月23日-Network Box保护数据安全的指南
网络安全管理公司Network Box刚发布了最新的指南,主要为企业提供指引去避免安全漏洞。而指南可于Network Box网站免费下载。
由 2010年4月开始,在英国的资讯专员办事处已拥有更大的权力去执行数据安全法规(包括向公司收取罚款,违例者最高需缴交 50万英镑的罚款),这便确认公司拥有稳妥的保安对业务更为重要。
现时每间机构保持的数据比以前还要多。越多数据(包括客户纪录、金融资料或个人资料),对罪犯来说便越有价值。当机构拥有敏感资料时,便容易成为骇客的攻击对象。不论资料被窃取后是作冒充身份、钓鱼攻击、或复制信用咭资料,客户的数据对犯罪集团都有一定的价值,所以必须小心保管它们。
Network Box的指南-如何符合英国的保安法规,当中包括商业诉讼的大状,James Pickering,对数据保护法例的专业意见(但只供参考,而非取代各公司的法律咨询)。
指南对于保护数据安全的指引,撮要如下:
- 避免或减少人为错误(数据流失的主因),不论是受网络钓鱼攻击或遗留未受保护的手提电脑在火车上。
- 为一旦发生安全漏洞作好准备,如重覆贮存系统;以及漏洞通知的安排(现时还是自愿性执行,但可能在未来两年内会改为强制性执行)。
- 审查其他拥有数据的供应商,如CRM系统或财务系统的供应商(包括提供网上或移动设备付款的供应商),并确保它们符合PCI DSS。
- 加密数据和使用较强的密码验证,特别是移动设备、手提电脑和数据棒 。
- 检查所有(通过任何渠道,包括即时通讯软件)输出及传入公司的数据,以防止未经授权的数据传送。
- 保护所有数据,不仅是电子邮件。 在2009年,网络犯罪份子明显地把视线转移到针对应用程式、网站浏览器和伺服器的漏洞,不再单单透过电邮发送可执行代码 。
- 定期检查机构内的所有应用程式及系统的安全漏洞;以及制定清晰的用户权限(详情可参阅Network Box有关监控应用程式的指南) 。
- 确保所有的数据不绕过安全系统,只经过适当的渠道传送。(更多相关的资料,请参阅Network Box有关路由的指南)。
- 教导员工对保护公司数据安全的重要性,以及限制在某些应用程序或平台上的存取权限。
- 使用隐妥的虚拟私人网络,可以减少数据转移至,如手提电脑或记忆棒等;确保家中或遥距工作的员工都与在公司一样有相同程度的保安。(更多相关资讯,请参阅Network Box有关遥距工作的指南)
- 防止员工在未经保安队伍授权下作任何下载,如点对点软件,这可能会留下一个可进入公司网络的“后门”。
Network Box 技术总监Mark Webb-Johnson 说:“好多公司都对于应该做什么来确保数据安全都存在疑惑。今年在资讯安全网内,我们看到很多公司对于这方面都十分关心,但却不知道要怎样做。我们希望本指引可以帮助到各企业去落实保安措施以避免安全漏洞。因为处理数据流失的善后工作所涉及之费用 - 包括在财政和信誉方面 - 可以是很巨大的。”
ISO 证书
Network Box 产品应用示范
