22、信息与数据安全最佳实践

信息与数据安全最佳实践

1. 补丁与安全配置的重要性

补丁更新至关重要，2017 年的 Equifax 数据泄露事件就是一个典型案例，此次事件是史上最大的隐私数据泄露事件之一，而通过充分的服务器补丁更新本可避免。

安全配置信息系统是 IT 卫生管理的基础，不容忽视。Verizon 2015 年的数据泄露报告显示，60% 的数据泄露可追溯到信息系统配置错误。

1.1 制定安全配置策略的步骤

1.1.1 制定强制执行安全配置基线的政策

• 确保组织政策强调安全配置基线的必要性，要求信息系统采用最安全且符合业务需求和技术参数的配置。
• 建立机制，使信息安全计划能够向高层管理汇报，让高级领导层关注技术风险。

1.1.2 开发安全配置基线

基于行业最佳实践，如互联网安全中心（CIS）和国防信息安全局（DISA），开发安全配置基线。这些组织为大量应用程序、服务和操作系统提供了详细的安全配置指导、基准和程序。
- 启用与安全相关的最佳实践配置。
- 移除不必要的账户。
- 移除或禁用不必要的服务。

所选的指导、基准和程序应经过测试，以满足组织的安全要求、业务需求和操作技术支持能力。测试完成后，将定制的指导模板化，以便用于未来所有新系统。

1.1.3 将安全配置基线集成到 SDLC

信息安全计划应与业务和 IT 利益相关者合作，确保在所有信息系统环境的 SDLC 生命周期中都建立安全配置指导。
|阶段|说明|
| ---- | ---- |