您对网络攻击的脆弱程度如何？制造商的自我评估工具

每个人（制造商和其他人）都必须认识到网络攻击的威胁以及如何预防它们。网络犯罪分子利用的漏洞可能会导致您的运营中断，需要您的公司花费数千美元来加强安全措施并让客户放心您仍然值得信赖。

制造商在网络威胁方面经常面临的挑战之一是他们不确定自己到底有多脆弱。您有没有想过如何评估公司的漏洞级别？能够更好地了解贵公司在满足其网络安全需求方面的进展不是很好吗？

幸运的是，这比您想象的要容易。您可以使用 MEP National Network ^TM 开始 网络安全评估工具，用于自我评估您企业的网络风险水平。

网络安全评估工具演练

您可能知道，美国国家标准与技术研究院 (NIST) 发布了由五部分组成的网络安全框架，该框架已成为制造业和许多其他行业的网络安全标准。 MEP 的自我评估工具基于框架并遵循五个类别：识别、检测、保护、响应和恢复。

识别

在您提供了有关您公司的一些基本信息（包括居住州）后，您就可以开始使用评估工具了。请记住，NIST 和 MEP 国家网络不会保留关于您公司的任何信息，除了其位置。您在框架中每一步的分数将不会被记录。当您再次使用该工具进行重新评估时，您可能需要记下您的分数以跟踪您的进度。

自我评估工具的第一部分涉及现有的结构和做法，这些结构和做法有助于识别对贵公司的网络威胁。

本节涵盖的主题包括：

• 您是否已确定贵公司持有的机密数据以及哪些设备包含这些数据
• 员工网络钓鱼培训及其对敏感数据的访问
• 存储敏感信息的设备是否是最新的并且不包含非必要的业务应用程序
• 您了解贵公司必须遵守的有关网络安全的法律和监管要求
• 组织风险承受能力的确定与表达
• 您是否共享和接收有关来自内部和外部来源的威胁和漏洞的信息
• 贵公司如何管理密码
• 您使用的密码的强度和复杂性
• 贵公司更改密码的频率

答案选择很简单；大多数只需要“是”、“否”或简短的回答。

保护

接下来，该工具进入 NIST 网络安全框架的保护类别并讨论系统保护。准备好回答以下问题：

• 自动超时
• 防火墙
• 数据保留和销毁政策
• 员工接受网络安全培训的频率
• 员工是否可以远程访问公司数据
• 实物资产的访问管理
• 数据加密
• 灾难恢复政策
• 实物资产管理和保护
• 您的人力资源部门是否通过在某人离开公司时锁定其帐户等方式来协助网络安全实践

检测

NIST 网络安全框架的检测类别评估您检测系统恶意威胁的能力。您将回答与以下事项相关的问题：

• 安装在设备上的防病毒和反恶意软件保护
• 恶意软件检查的频率
• 您的企业如何监控网络安全事件
• 是否跟踪网络安全事件并将其与日志文件关联

回复

框架的响应部分会检查您的企业在检测到网络安全威胁或事件后是否准备好采取行动。这些问题包括以下主题：

• 您组织中的各方是否已分配角色和职责，并知道如何在需要时执行这些职责
• 有关贵公司在事件发生后要使用的响应计划的详细信息
• 您是否在过去的网络安全问题后进行了更改以防止问题再次发生
• 是否有人或小组被指派控制网络安全事件并发现它们发生的时间和地点
• 您的企业是否有计划通知客户敏感信息泄露

恢复

恢复类别涉及您为帮助您的企业在网络安全事件后恢复而采取的做法。该部分涵盖：

• 您备份数据的频率
• 您是否拥有可以根据需要帮助恢复过程的各方的详细联系信息，例如执法人员、互联网服务提供商、公共关系机构和专门从事网络犯罪的律师
• 您的恢复计划是否包含在网络安全事件发生后您和您的员工将采取的措施以恢复正常状态
• 组织中是否有人负责管理恢复
• 您的恢复策略是否包含吸取的经验教训并随着您的技术或计划的变化而更新
• 您是否有与网络安全相关的保险

完成“恢复”部分中的问题后，该工具会在生成分数之前共享一些推荐资源。

您当地的 MEP 中心如何通过网络安全保护您的业务

如果评估显示您的网络安全策略的任何部分存在问题，或者您在 NIST 网络安全框架中概述的某个领域薄弱，您当地的 MEP 中心将能够帮助您降低制造业务的风险。完成评估后提供的资源之一是制造扩展合作伙伴 (MEP) 中心交互式地图的链接，您可以按州或位置搜索以找到您当地的 MEP 中心。

请记住，进行更改的第一步是知道存在问题。使用 MEP 国家网络网络安全评估工具，用知识武装自己，然后采取行动！