1. 風險管理制度

通過建立適當的風險管理機制，評估貴組織信息和系統的風險。董事會和高級管理人員應提供支持。確保所有員工、承包商和供應商均了解相關方法及任何適用的風險界限。

2. 安全配置

采用一種方法來識別基線技術構建和確保配置管理的流程可以大大提高系統的安全性。 

您應該制定策略，移除或禁用系統中不必要的功能，并快速修復已知漏洞（通常通過補丁程序）。否則，系統和信息被入侵的風險可能會增加。

3.網絡安全

從您的網絡到互聯網和其他合作伙伴網絡的連接會使您的系統和技術面臨潛在的攻擊。

通過制定和實施簡單的策略以及適當的架構和技術響應，降低您的系統和技術遭受攻擊的可能性。您的組織網絡幾乎肯定會跨越多個站點，而移動或遠程辦公以及云服務的使用使得定義固定的網絡邊界變得困難。與其僅僅關注物理連接，不如思考您的數據存儲和處理的位置，以及攻擊者可能在哪里干擾它。

4.管理用戶權限

如果用戶被賦予不必要的系統權限或數據訪問權限，則會增加濫用或泄露的風險。所有用戶都應獲得合理（但最低限度）的系統權限以及其角色所需的權限。授予高級別的系統權限應受到嚴格控制和管理。此原則有時被稱為“最小權限”。

5. 用戶教育和意識

用戶在組織安全中扮演著至關重要的角色。對員工進行潛在的網絡風險教育至關重要，這不僅能確保用戶能夠正常開展工作，還能幫助維護組織安全。

6. 事件管理

所有組織在某個時候都會遇到安全事件。 

投資制定有效的事件管理政策和流程將有助于提高韌性，支持業務連續性，增強客戶和利益相關者的信心，并可能減少任何影響。您應該確定公認的專業事件管理專家資源（內部或外部）。 

7.惡意軟件預防

惡意軟件（或惡意軟件）是一個涵蓋性術語，涵蓋任何可能對系統造成惡意、不良影響的代碼或內容。任何信息交換都存在一定風險，即惡意軟件可能被交換，這可能會嚴重影響您的系統和服務。制定并實施適當的反惡意軟件政策可以降低風險。

8. 監控

系統監控旨在檢測針對系統和業務服務的實際攻擊或攻擊企圖。良好的監控對于有效應對攻擊至關重要。此外，監控還能確保您的系統按照組織政策得到妥善使用。監控通常是遵守法律或監管要求所需的一項關鍵能力。

9. 可移動媒體控制

制定策略控制所有可移動介質的訪問。限制介質類型和用途。在將所有介質導入公司系統之前，請掃描所有介質中是否存在惡意軟件。

10. 居家辦公和移動辦公

移動辦公和遠程系統訪問帶來了諸多益處，但也暴露了需要妥善管理的新風險。應制定基于風險的政策和流程，以支持用戶和服務提供商相關的移動辦公或遠程系統訪問。此外，還應對用戶進行培訓，使其能夠在可能的工作環境中安全使用移動設備。