是否记录了您的网络安全计划？如果没有，从这里开始

您的公司准备如何处理安全事件的后果？如果您没有记录公司的保障措施，那么您可能会陷入困境。书面信息安全计划（WISP）是我们注重安全性的文化中必不可少的-只需询问您的监管机构和投资者即可。以下是对WISP的开发和维护的一些见解。

什么是WISP？

WISP是为保护个人信息和敏感公司数据而制定的公司计划和系统的正式文档。它包括行政和技术保护措施，并标识机密信息，其位置，如何受到保护以及谁可以访问它。技术保障措施包括对当前策略（如渗透软件和加密）以及技术策略（如密码更改和访问控制）的评估。

在当今不断变化的监管和投资者环境中，书面信息安全计划对于对冲基金和私募股权公司遵守SEC（及其他）法规，尽职调查请求和州法律至关重要。

发展：创建WISP

为您的公司开发WISP时，请务必避免使用过于宽泛且可能无法涵盖公司安全所有方面的Cookie切割器模板。当专门为您的企业创建WISP时，请确保确定并涵盖以下几个方面：

•业务运营评估：确定当前有哪些系统和计划可以保护信息。谁可以访问该信息，他们如何访问该信息以及在何处以及哪些系统使用该信息？特别是随着物联网（IoT）的兴起，数据几乎存储在所有设备上，包括打印机，网络摄像头和其他设备。在计划防护措施时，必须考虑所有这些数据。

•技术政策评估：评估公司用于保护数据的技术程序。

•法规要求：为了遵守法规，企业必须保持最新的法律环境，并记录企业必须遵守的立法。

•网络安全事件响应准则：确定在发生违规事件时由谁负责，是计算机安全事件响应团队（CSIRT）和/或首席信息安全官（CISO）。CSIRT团队应由IT和业务人员组成，以便同时解决这两种观点。

•第三方风险评估：如果您的公司依赖第三方供应商，则必须了解他们可以访问哪些信息以及他们自己为保护您的信息和自己的信息而采取的安全措施。相信您的服务提供商有效地完成工作是一回事。另一件事是忽略您自己的公司为保护自己的公司而管理该提供商的责任。

•员工准则：重要的是，要对内部人员进行WISP包含的策略和程序以及智能安全策略的最佳实践的信息和教育。

•网络安全格局：确定公司当前的威胁。考虑进行技术政策评估，以找出需要改进的地方。

审计：重新评估您的WISP和评估风险

随着角色，职称，威胁和法规的变化，重要的是您的WISP保持及时和更新以保护免受所有威胁。

•评估：当角色更改时，请查看WISP中的现有策略和过程。一切仍然最新吗？是否进行了更改以反映您的业务变化？

•报告：报告WISP应该解决的所有风险以及为确保信息保护而提出的其他建议。

•示例文档：创建用于第三方风险评估和员工准则的模板。

训练

在安全性方面，员工可以是公司最大的资产，也可以是最薄弱的环节，因此，至关重要的是，所有员工都必须了解并实施所有安全措施。

•定义：员工，投资者等应了解什么被视为机密信息；例如，研究笔记，算法，公司的财务状况等。如果没有明确的指导方针供员工遵循，则可能不会适当地处理机密数据。

•计算机事件响应小组：在纸上建立团队还不够。员工需要了解并接受培训，以了解在发生违规时应如何应对。

•准则：公司拥有设备的程序是什么，员工应如何使用这些设备？在这些领域进行培训可以减少违规的风险。

•内部威胁与外部威胁：对员工进行社会工程，网络钓鱼，用户错误和USB设备丢失等风险方面的培训对于确保员工了解一旦发生事件应如何应对至关重要。

保养

随着新法规，复杂的黑客，不断变化的威胁和不断变化的市场，金融行业格局正在不断变化。为了保持保护，公司必须不断更新其WISP文档，尤其是摘要，第三方评估和员工指南，以领先于威胁方案并确保在发生安全事件时做好准备。