意识与网络卫生
安全意识计划
持续措施
| 措施 | 描述 | 频率 |
|---|---|---|
| 钓鱼模拟 | 向全体员工发送仿真钓鱼邮件 | 每半年 |
| 安全提示 | 针对相关威胁的即时警告(如新钓鱼攻击潮) | 事件驱动 |
| 入职安全简报 | 新员工安全须知 | 入职时 |
| 年度必修培训 | 所有基础主题的知识更新 | 每年 |
钓鱼模拟
| 方面 | 描述 |
|---|---|
| 频率 | 每年2次 |
| 难度级别 | 不同难度(简单到高级) |
| 评估 | 点击率、报告率、部门对比 |
| 补训 | 对点击了钓鱼链接的员工自动安排补训 |
| 目标点击率 | < 5% |
网络卫生规则
工作场所
| 规则 | 描述 |
|---|---|
| 锁屏 | 5分钟不活动后自动锁定 |
| 桌面清理 | 不得将机密文件留在桌面 |
| 移动介质 | 仅在IT审批后使用USB设备 |
| 私人设备 | 未安装MDM的私人设备不得访问企业数据 |
密码与认证
| 规则 | 描述 |
|---|---|
| 密码管理器 | 全体员工强制使用 |
| 唯一密码 | 每个服务使用独立密码 |
| MFA | 所有外部服务和管理员账号启用 |
| 密码共享 | 禁止 -- 仅通过个人账户访问 |
通信
| 规则 | 描述 |
|---|---|
| 可疑邮件 | 不打开、不转发,向ISB报告 |
| 机密数据 | 仅通过加密渠道发送 |
| 公共网络 | 仅在使用VPN时使用 |
| 陌生来电 | 不透露访问凭证或内部信息 |
文档记录
| 凭证 | 描述 | 保存期限 |
|---|---|---|
| 培训完成证明 | 每个模块的参与确认 | 至少3年 |
| 钓鱼模拟结果 | 每次活动的汇总统计 | 2年 |
| 入职确认 | 已签署的安全政策 | 在职期间 |