企业数字化转型的网络安全指南：向IT服务商提出的关键问题

Moving your business from the physical to the digital

您需要启用JavaScript才能运行此应用。

本网站的Cookie 我们使用一些必要的Cookie来使本网站正常工作。我们希望设置额外的Cookie以了解您如何使用我们的网站，以便改进我们的服务。接受可选Cookie | 拒绝可选Cookie | 管理Cookie（在新标签页中打开）

编写对象 本部分显示了本文档的目标受众列表关闭 | 跳过至主内容

关于NCSC | 报告事件 | 联系我们

搜索 | 菜单

首页 | 建议与指导 | 响应网络攻击 | 查找产品或服务 | 教育与技能 | 新闻 | 指导

下载/打印文章PDF 分享复制到剪贴板 | 分享到Facebook | 分享到Linkedin | 分享到X | 复制链接

将您的业务从实体转向数字化

在考虑数字化转型时，向您的IT服务提供商提出的安全问题

无效的日期时间

图片来源：iStock.com/biscotto87

注意： 小型组织会发现本指南很有用，但在此之前应参考NCSC的“网络行动工具包”。

随着网上购物和居家办公成为许多人的常态，许多组织正在将其业务更多地转移到线上。这种工作方式的转变很可能会改变您的业务所需的IT服务和支持的性质及优先级。对于个体经营者或小企业主来说，要确切确定需要实施哪些新的网络安全措施，可能看起来是一项相当大的挑战。本指南将帮助您确定您的业务为这种数字化转型做好了多少准备，并指出您应该实施的任何新网络安全措施的方向。

如何使用本指南 我们为您提供了一系列问题，您可以就您所依赖系统的安全性询问自己以及您的IT服务提供商。我们还指出了您可以用来进行自己的研究，并为与供应商的任何讨论提供信息的建议。

如果您想做些初步阅读，我们专门为居家办公的个人和企业发布了建议和指南：

居家办公指南
居家视频会议
面向组织的视频会议指南

NCSC网站还设有面向自雇人士/个体经营者以及面向小型企业的专题中心。这些是进入网络安全世界的良好切入点。

应对新的工作方式 将您的业务转移到线上会带来一些新的风险。首先要做的是确定这些风险是什么。

新的依赖关系 在线工作将不可避免地意味着更多地依赖数字技术，包括在线服务，如网络托管、信用卡处理以及电子邮件、视频和聊天等生产力工具。您现有的安排能否适应使用量和依赖性的增加？例如，您是否有必要的带宽来处理增加的网络流量？您是否有足够的在线存储容量？您是否定期备份重要数据？您是否能获得IT支持？
检查您的服务协议 对于您已经到位的服务，可能涉及服务级别协议（SLAs）或合同安排。值得仔细阅读这些内容，以确保您确实拥有您认为拥有的资源。
保护设备和服务 即使您的业务已经在线，您的日常运营也可能已经发生了重大变化。您的员工可能需要使用自己的设备来访问服务和数据，这将带来新的风险。我们的《小型企业指南》为您提供了五个有助于保护您的业务免受恶意软件攻击的技巧。对于大型组织，NCSC还提供了关于移动设备管理的详细指南，其中包括自带设备（BYOD）方法。

评估您企业的网络安全 在线安全很重要，但应结合您的整体业务需求来考虑。例如，您是否希望扩展在线业务？如果是这样，您需要建立可持续并能随着您的业务适应和发展而扩展的系统。云服务正是为了满足这一需求而设计的，允许您根据市场状况扩展或缩减IT需求，而无需在硬件或人员上进行大规模投资。它们在安全性方面有许多优势，但作为最终用户，您仍需对您的数据、数据的访问方式以及访问者承担最终责任。

建立基线 回答这些问题将使您很好地了解自己的安全状况，并指出需要注意的领域。
- 您已经在使用什么技术？您自己拥有、运营和管理哪些IT资产？如果无法确定由谁负责，就很难保护技术。是您的专属职责？您的服务提供商的职责？还是共同努力？明确责任是这里的关键。
- 您是否在使用云服务？我们的“SaaS安全”合集为您提供了一个相对轻量级的过程，用于评估云托管软件产品的安全性。
- 您是否能获得IT支持？随着您越来越依赖数字服务开展业务，您应该思考如果这些服务变得不可用，您将如何应对。详细列出您使用的服务，确定支持级别和升级途径，将有助于您理解并为任何问题做好准备。
- 您已经落实了哪些网络安全措施？NCSC的《小型企业指南》可以帮助您为您的IT建立一套基线安全策略。“网络必备方案”提供了一种向他人证明您拥有良好安全性的方式。
- 您需要遵守任何法规吗？规则就是规则，即使在互联网上也是如此。如果您的企业现在在线处理个人身份信息（PII），您需要阅读《通用数据保护条例》（GDPR）。如果您处理银行卡支付信息，则需遵守支付卡行业数据安全标准（PCI DSS）。请明确您与IT服务提供商之间法律和监管责任的分担。
- 您是否拥有网络保险？其中是否有任何要素因您的情况变化而受到影响，例如居家办公、主要经营“在线”业务或将关键业务功能外包？

与您的IT服务提供商沟通 您的企业可能依赖于多个IT服务提供商。您应检查并确认您对他们各自实施的网络安全措施感到满意。我们的“软件即服务”（SaaS）指南为您提供了一些流行服务（如Office365、GSuite、Mailchimp和Slack）的实用示例。许多服务也根据我们的云安全原则发布了他们自己的响应文件，为您提供了一个评估其适用性的单一来源。如果没有此类文件，请尝试搜索其文档或联系其支持部门。

如果您直接与供应商沟通，请重点关注以下安全问题：

补丁和更新： 互联网和云服务提供商保持软件更新，并在最新安全补丁可用时立即应用，这至关重要。询问您的供应商他们为您使用的服务打补丁的频率，并检查任何合同或SLA以确保包含打补丁条款。补丁和更新是漏洞管理的重要组成部分。
备份： 实施了何种备份安排？测试频率如何？例如，如果服务提供商遭受勒索软件攻击，他们将如何恢复服务及您的数据？您应确定数据备份的频率、存储位置以及谁有权访问。
访问控制： 您的数据以及您负责的他人数据是否得到了适当的保护？您是否能够实施两步验证（2SV）来限制对您的数据和服务的访问？NCSC还为保护互联网上数据传输的两种最常见加密解决方案（TLS和IPsec）提供了指南。
日志： 是否出于安全目的保留日志？日志记录在诊断系统面临的任何问题方面可以发挥至关重要的作用。除了有助于确定服务是否以最佳状态运行外，日志记录还可以为安全控制措施是否有效运行提供保证。在响应安全事件和从中恢复时，日志也将证明是无价的。
事件响应： 如果出现问题会怎样？服务提供商应假定自己会遭受攻击。在安全事件期间，他们如何以及何时与您联系应该清晰明了。对于大型企业，我们关于安全运营、监控和事件响应的建议更为深入。

安全作为未来增长的基础 安全地将您的业务从实体转向数字化，不仅有助于您的业务自信且可持续地增长，还将有助于维护您在客户中的声誉。您和您供应商的安全措施应定期审查。与您的IT服务提供商保持开放的对话非常重要，建立积极的关系并增进对彼此责任的理解。为了帮助您掌握网络安全事务，NCSC的“小型企业”和“个体经营者”页面会定期更新，我们的博客文章也经常指向新的有用的建议。

下载 pdf (127 KB) - 将业务转移到线上：向您的IT提供商提出的问题帮助您确定您的业务准备就绪的程度，并指出为实现在线化而应采取的任何新网络安全措施的方向。

主题设备 | 打补丁 | 视频会议 | 漏洞

返回顶部

下载/打印文章PDF 分享复制到剪贴板 | 分享到Facebook | 分享到Linkedin | 分享到X | 复制链接

发布日期 2020年5月20日 审核日期 2024年12月20日版本 1.0 编写对象 中小型组织 | 自雇人士及个体经营者

返回顶部

另请参阅 新闻 2025年10月15日 - F5网络被入侵事件得到确认 NCSC建议各组织遵循F5发布的指南并安装最新的安全更新。新闻 2025年10月6日 - 影响Oracle电子商务套件的漏洞被积极利用 NCSC鼓励英国各组织立即采取行动，以缓解影响Oracle电子商务套件的漏洞（CVE-2025-61882）。新闻 2025年7月22日 - 影响英国Microsoft Office SharePoint Server产品的漏洞被积极利用 NCSC鼓励英国各组织立即采取行动，以缓解影响Microsoft SharePoint Server产品的漏洞（CVE-2025-53770）。

关注我们

关于本网站 隐私声明 | Cookies | 可访问性 | 条款与条件 | 社交媒体政策

有用链接 GCHQ | MI5 | SIS | NPSA | GOV.UK

搜索 | 热门搜索：Cyber Aware | Cyber Essentials | CYBERUK | 密码 | 钓鱼 | 勒索软件