從可接受的使用政策到遠(yuǎn)程工作指南，明確所有訪(fǎng)問(wèn)企業(yè)IT資源的人員的規(guī)則和程序是IT安全的基本原則。

對(duì)于許多企業(yè)來(lái)說(shuō)，IT基礎(chǔ)設(shè)施已經(jīng)擴(kuò)展到看似無(wú)邊界的程度。許多員工在遠(yuǎn)程或混合模式下工作，基于云的服務(wù)已成為常態(tài)，邊緣計(jì)算和物聯(lián)網(wǎng)正在持續(xù)增長(zhǎng)。

這在某些方面是有利的，例如保持員工滿(mǎn)意度、增加需要數(shù)據(jù)人員的訪(fǎng)問(wèn)權(quán)限以及增強(qiáng)數(shù)據(jù)分析等，但同時(shí)也增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，因此，企業(yè)必須不斷重新審視其IT政策，以確保這些政策是否需要更新，并在出現(xiàn)新的技術(shù)使用案例時(shí)，保持警惕并定義新的政策。

以下是一些重要的IT政策，供企業(yè)參考以確保更加安全的運(yùn)營(yíng)環(huán)境。

可接受使用政策

這是任何網(wǎng)絡(luò)安全計(jì)劃的基本之一：確保整個(gè)企業(yè)正確使用IT資產(chǎn)?？山邮艿氖褂谜呙枋隽似髽I(yè)認(rèn)為其資產(chǎn)和數(shù)據(jù)的可接受使用，簡(jiǎn)言之，這項(xiàng)政策解釋了員工在使用公司資產(chǎn)時(shí)的期望。

通過(guò)為用戶(hù)提供指南，說(shuō)明他們可以做什么以及如何做事的限制，企業(yè)可以減少風(fēng)險(xiǎn)。

“在制定IT政策時(shí)，最關(guān)鍵的領(lǐng)域之一是資產(chǎn)和數(shù)據(jù)的可接受使用，包括用戶(hù)行為。”在線(xiàn)商業(yè)指南提供商Step by Step Business的聯(lián)合創(chuàng)始人Esther Strauss說(shuō)。

“這項(xiàng)政策對(duì)于維護(hù)企業(yè)IT基礎(chǔ)設(shè)施的完整性和安全性至關(guān)重要，”Strauss說(shuō)，“可接受的使用政策對(duì)員工如何使用公司資源（如計(jì)算機(jī)、網(wǎng)絡(luò)和數(shù)據(jù)）設(shè)定了明確的指南?！?/p>

這項(xiàng)政策在多個(gè)方面是必要的，首先，它有助于防止資源濫用，這可能導(dǎo)致安全漏洞。例如，員工可能會(huì)通過(guò)訪(fǎng)問(wèn)未經(jīng)授權(quán)的網(wǎng)站或使用不安全的個(gè)人設(shè)備而無(wú)意中下載惡意軟件。

其次，有效的使用政策有助于保護(hù)敏感數(shù)據(jù)，它提供了有關(guān)如何處理、存儲(chǔ)和傳輸數(shù)據(jù)的指南，這對(duì)于確保符合數(shù)據(jù)保護(hù)法規(guī)至關(guān)重要。

AI使用政策

AI對(duì)許多企業(yè)來(lái)說(shuō)越來(lái)越重要，但這項(xiàng)技術(shù)也存在風(fēng)險(xiǎn)，用戶(hù)需要指導(dǎo)如何正確使用工具和數(shù)據(jù)。

“企業(yè)需要開(kāi)始定義清晰的AI使用政策，”促銷(xiāo)產(chǎn)品供應(yīng)商BAMKO的IT總監(jiān)Ari Harrison說(shuō)，“如果已有關(guān)于數(shù)據(jù)泄露的政策，則應(yīng)更新以包含關(guān)于大型語(yǔ)言模型（LLM）的具體內(nèi)容。例如，政策應(yīng)明確規(guī)定禁止使用公司信息提示工具如ChatGPT?！?/p>

通過(guò)這些政策，企業(yè)可以確保在使用新興技術(shù)時(shí)保護(hù)其數(shù)據(jù)和系統(tǒng)的安全。

Harrison表示，不僅要制定可接受的AI使用政策，還要通過(guò)定義的保護(hù)措施來(lái)執(zhí)行這些政策。“Microsoft Defender現(xiàn)在可以跟蹤、警報(bào)和阻止LLM的使用，以確保符合這些政策?！彼赋觯皩?shí)施這些措施有助于防止未經(jīng)授權(quán)的數(shù)據(jù)使用和潛在的安全漏洞。”

越來(lái)越多的公司在整合LLM的同時(shí)確保這些模型不會(huì)基于其專(zhuān)有數(shù)據(jù)進(jìn)行訓(xùn)練。Harrison說(shuō)：“這種方法有助于避免風(fēng)險(xiǎn)并保持對(duì)AI使用的控制?！?/p>

使用最近發(fā)布的ISO 42001 AI認(rèn)證框架可以顯著增強(qiáng)企業(yè)的AI治理方法。Harrison指出，ISO 42001專(zhuān)為AI設(shè)計(jì)，“該框架提供了一個(gè)結(jié)構(gòu)化模型來(lái)管理AI風(fēng)險(xiǎn)，并提供了對(duì)AI使用的可辯護(hù)方法。”

數(shù)據(jù)管理政策，包括數(shù)據(jù)分類(lèi)

保護(hù)數(shù)據(jù)，尤其是高度敏感的信息，是任何IT政策策略的關(guān)鍵部分。

Hyperproof風(fēng)險(xiǎn)管理軟件公司的CISO兼IEEE高級(jí)成員Kayne McGladrey表示，公司應(yīng)制定數(shù)據(jù)保護(hù)和隱私政策，以確保遵守?cái)?shù)據(jù)保護(hù)法律并保護(hù)個(gè)人數(shù)據(jù)。

這應(yīng)包括數(shù)據(jù)收集、處理和保留指南，政策執(zhí)行機(jī)制，數(shù)據(jù)存儲(chǔ)和傳輸?shù)陌踩刂?，以及?shù)據(jù)泄露響應(yīng)程序。

此外，企業(yè)需要數(shù)據(jù)保留和處置政策，以建立保留和安全處置數(shù)據(jù)的指南。

這應(yīng)包括基于數(shù)據(jù)分類(lèi)的數(shù)據(jù)保留時(shí)間表，安全處置不再需要用于合法商業(yè)目的的數(shù)據(jù)的程序，符合數(shù)據(jù)保留的法律和法規(guī)要求，以及數(shù)據(jù)處置活動(dòng)的文檔和審計(jì)記錄。

事件響應(yīng)政策

當(dāng)發(fā)生任何類(lèi)型的泄露或其他攻擊時(shí)，安全團(tuán)隊(duì)需要做好快速響應(yīng)的準(zhǔn)備。反應(yīng)時(shí)間的長(zhǎng)短可能決定了是在攻擊造成損害之前阻止它還是遭受重大影響。

McGladrey表示，事件響應(yīng)政策概述了管理和響應(yīng)網(wǎng)絡(luò)安全事件的方法。

這應(yīng)包括定義什么構(gòu)成事件，事件響應(yīng)團(tuán)隊(duì)的角色和責(zé)任，事件檢測(cè)、分析、遏制、根除和恢復(fù)的步驟，強(qiáng)制報(bào)告窗口和報(bào)告機(jī)構(gòu)的聯(lián)系信息，以及事件后的審查和改進(jìn)過(guò)程。

事件響應(yīng)可以作為信息安全政策的一部分，該政策建立了管理和保護(hù)公司信息資產(chǎn)的框架。McGladrey表示，這應(yīng)包括信息安全的目標(biāo)和范圍、與信息安全相關(guān)的角色和責(zé)任、一般安全原則和實(shí)踐。

混合和遠(yuǎn)程訪(fǎng)問(wèn)政策

疫情永久改變了工作模式，現(xiàn)在員工通常至少部分時(shí)間在家或其他遠(yuǎn)程地點(diǎn)工作。混合/遠(yuǎn)程模式可能會(huì)長(zhǎng)期存在，并帶來(lái)一系列安全挑戰(zhàn)。

在遠(yuǎn)程訪(fǎng)問(wèn)的常見(jiàn)風(fēng)險(xiǎn)中，擴(kuò)展的攻擊面、不遵守?cái)?shù)據(jù)隱私法規(guī)、更容易受到網(wǎng)絡(luò)釣魚(yú)和其他攻擊，以及訪(fǎng)問(wèn)企業(yè)系統(tǒng)和數(shù)據(jù)時(shí)設(shè)備和網(wǎng)絡(luò)安全性不足是較為普遍的風(fēng)險(xiǎn)。

企業(yè)需要制定有關(guān)遠(yuǎn)程數(shù)據(jù)訪(fǎng)問(wèn)的政策。肖大學(xué)的CIO Leon Lewis表示，遠(yuǎn)程訪(fǎng)問(wèn)已經(jīng)從下班后的系統(tǒng)管理工具發(fā)展成為過(guò)去五年中各行業(yè)現(xiàn)代運(yùn)營(yíng)的關(guān)鍵方面。在數(shù)字時(shí)代，為了實(shí)現(xiàn)企業(yè)目標(biāo)，信息、軟件和設(shè)置必須易于訪(fǎng)問(wèn)。

今天的企業(yè)必須在網(wǎng)絡(luò)安全和可訪(fǎng)問(wèn)性之間取得平衡。由于金融服務(wù)、醫(yī)療保健等領(lǐng)域的法規(guī)增加，以及全球范圍內(nèi)數(shù)據(jù)隱私和保護(hù)法律的出現(xiàn)，這項(xiàng)任務(wù)變得困難。Lewis表示，通過(guò)遵循嚴(yán)格的安全協(xié)議，企業(yè)可以保護(hù)其基礎(chǔ)設(shè)施并鼓勵(lì)創(chuàng)新。 

無(wú)論是教育領(lǐng)域的學(xué)生和教職員工，醫(yī)療保健領(lǐng)域的患者和醫(yī)療專(zhuān)業(yè)人員，還是企業(yè)世界中的客戶(hù)和員工，滿(mǎn)足利益相關(guān)者日益增長(zhǎng)的需求需要安全的遠(yuǎn)程訪(fǎng)問(wèn)。Lewis說(shuō)：“為了提供高質(zhì)量的服務(wù)和遵守法律，必須在可訪(fǎng)問(wèn)性和數(shù)據(jù)保護(hù)之間取得平衡?！彼f(shuō)：“安全性和可訪(fǎng)問(wèn)性有助于下一代專(zhuān)業(yè)人士的成功和繁榮?！?/p>