企业安全漏洞自查

所有的企业都应该每年对系统安全性进行分析，并根据分析结果调整安全水平来满足新的规范或者网络的发展。完成漏洞分析就是要找出企业网络现在的安全水平与实际所需安全水平之间的差异。

在进行漏洞分析之前，首先要建立起一套评判网络运营的标准。这些标准应该包括所有适用政府制定的规范，国际标准化组织的标准，信息及相关技术控制目标（COBIT）的推荐以及美国标准技术研究所（NIST）的标准，或者任何经过证明的商业惯例。

由于公司网络的复杂性或者时间和人力上的缺乏，将分析工作外包也是一种选择。

无论外包还是自己做，都要特别注意几个关键问题。通过关注以下几点，就可以改进企业的安全策略，确保企业可以符合任何现有的法律要求。

政策和步骤
所有的工作都从文字工作开始，网络工作也不例外。你必须对网络物理结构进行准确的记录。这些记录可以是精细的电子版也可以是铅笔草图。如果进行合法性的审查，这些图纸是必需要有的。

用户协议也是切实需要的。必须有书面的东西来明确网络上哪些行为是被允许的，那些是不被允许的。如果没有这样书面的东西，就没有能够阻止有损企业网络行为的法律武器。例如，如果你不希望用户下载游戏或者自己设置共享服务器，就要把规定写下来。

不要仅仅考虑到使用者，还应该把公司对网络管理员的期望和限制也写下来。

请记住：履行标准并管理标准适用于公司内的任何人。上到CEO，下到网络用户中职位最低的职员，都要明确岗位职能和责任。另外，还要建立政策和步骤记录网络中任何活动。

最重要的，一定要定期回顾每个文件。如果政策过时就不能发挥很大的作用。如果没有人花时间对政策进行升级，估计也就没有人会去执行。

当你整个人都为手头工作所淹没时，真正有趣的工作才刚刚开始。