很多機(jī)構(gòu)為實(shí)施安全措施而提供了最佳實(shí)踐研討會(huì)和培訓(xùn)班。例如，信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(mⅢ.isaca. com)定期舉辦類似的研討會(huì)。同樣，國(guó)際職業(yè)安全顧問(wèn)協(xié)會(huì)和全球網(wǎng)格論壇也列出了一個(gè)最佳實(shí)踐列表，也可以仔細(xì)研讀網(wǎng)絡(luò)門戶中已發(fā)布的安全最佳實(shí)踐。許多免費(fèi)門戶都致力于安全維護(hù)收集的實(shí)踐，例如SerchSecurity. com和NIST計(jì)算機(jī)資源中心。

Gartner Group提出了12個(gè)問(wèn)題，以供最佳安全實(shí)踐做出自我評(píng)估。這些問(wèn)題分為3類——人員、過(guò)程以及技術(shù)——它們隱約地反映了NIST方法學(xué)中的管理、 操作以及技術(shù)領(lǐng)域：

人員

①你是否會(huì)檢查所有可以訪問(wèn)敏感數(shù)據(jù)、領(lǐng)域及訪問(wèn)點(diǎn)的雇員的背景？

②一般的雇員是否意識(shí)到安全問(wèn)題？

③他們是否會(huì)選擇上報(bào)問(wèn)題？

④他們是否知道怎樣向適當(dāng)?shù)娜藚R報(bào)？

過(guò)程

⑤企業(yè)安全策略是否每年至少井級(jí)一次？雇員是否經(jīng)常培訓(xùn)？是否自始至終都貫徹制定的策略？

⑥你的企業(yè)是否采納補(bǔ)丁／升級(jí)管理和評(píng)估過(guò)程，來(lái)對(duì)新的安全漏洞區(qū)分優(yōu)先級(jí)以及調(diào)停。

⑦在前雇員離任之后其賬戶是否會(huì)立即被刪除掉？

⑧安全小組代表是否會(huì)涉足新項(xiàng)目生命周期的所有階段？

技術(shù)

⑨每一個(gè)通往互聯(lián)網(wǎng)的路由是否都得到了適當(dāng)?shù)姆阑饓ΡＷo(hù)？

⑩便攜電腦和遠(yuǎn)程系統(tǒng)上的敏感數(shù)據(jù)是否已加密？

⑩你是否經(jīng)常用漏洞分析工具來(lái)掃描你的系統(tǒng)和網(wǎng)絡(luò)，以發(fā)現(xiàn)暴露的安全問(wèn)題？

⑥是否在全部工作站和服務(wù)器上都部署了惡意軟件掃描工具？

通過(guò)在線完成這些調(diào)查，機(jī)構(gòu)可以把它的操作同其他公司進(jìn)行比較，以提供最佳安全實(shí)踐比較。