中小型組織的基線網絡安全控制

1 簡介

本文檔適用於尋求通過網絡安全投資來提高彈性的中小型組織。這是對國家網絡安全戰略[2] 中表達的需求的一部分，加拿大政府通過提高網絡安全性來支持中小型組織。

正如《2018 年國家網絡威脅評估》 [3] 中所述，中小型組織最有可能面臨網絡犯罪形式的網絡威脅活動，這些網絡犯罪活動通常會對財務或隱私產生直接影響。網絡威脅行為者將加拿大企業的客戶、合作夥伴和供應商數據、財務信息和支付系統以及專有信息作為目標。網絡安全事件還可能導致聲譽受損、生產力損失、知識產權盜竊、運營中斷和恢復費用。

我們向尋求降低網絡安全事件風險的組織推薦附件 4A – ITSG-33 信息技術 (IT) 安全風險管理：生命週期方法[4] 的配置文件 1。此配置文件是加拿大的控制規範，相當於 NIST 網絡安全框架 [5] 或 ISO/IEC 27001:2013 [6] 的規範。然而，現實是這種配置文件的實施成本很高，而且超出了加拿大大多數中小型組織的財務和/或人力資源手段。

我們相信組織可以通過網絡安全和業務連續性方面的意識和最佳實踐來減輕大多數網絡威脅。因此，我們相信我們可以在網絡安全領域成功應用 80/20 規則（從 20% 的努力中獲得 80% 的收益），並為加拿大人的網絡安全取得實實在在的收益。本文檔針對組織如何從其網絡安全投資中獲得最大收益提供了一套精簡的建議、指南和安全控制措施。我們稱這些為基線網絡安全控制（以下簡稱基線控制）。

我們鼓勵組織盡可能多地實施這些基線控制，並且我們了解並非每個組織都能實施所有控制。但是，如果大多數加拿大組織實施這些控制措施，加拿大將更具彈性和網絡安全性。如需更多建議，請訪問cyber.gc.ca。