方法
我们的方法从事件响应团队处理的事件开始。我们将我们的信息与从高等教育收集的数据合并。综合起来,我们对行业面临的最大威胁有了准确的认识。
然后,我们根据有效性、成本和生产率影响来评估安全措施。经过无数小时的研究和考虑,我们选择了最佳的保护方案。这就是最低安全标准。
在将资源投入其他信息安全问题之前,应先实施最低安全标准。请注意,这不是一个完整的IT实践清单。它也不免除您的监管或合同义务,如HIPAA, PCI和一些研究安排。在这些情况下,您应证明符合最低安全标准。
根据资产类型(如服务器vs.端点)和数据分类(如公共vs.机密)应用每个标准。除非另有说明,单位可以达到标准的目标,但他们认为合适。我们列出的选项仅供参考。少数必需的技术或实践允许我们进行事件响应和管理安全计划。