作者:Iseman Cunningham Riester & Hyde LLP
作为其安全意识和培训计划的一部分,覆盖实体必须考虑培训员工防范、检测和报告恶意软件的程序(关于安全意识和培训项目的更多信息,请参见提示#29).该规范是“可寻址的”,这意味着所覆盖的实体必须实现它,除非这样做是不适当的或不合理的,并且标准的目的不能通过替代的措施来满足。
在流行的用法中,本规范指的是关于使用反病毒实践的培训。(技术用户很快就会注意到,“恶意软件”不仅包括病毒,还包括蠕虫、特洛伊木马和炸弹等。)尽管反病毒计算机程序(广泛使用)可以提供一流的保护,防止恶意软件,即使最好的程序也比病毒程序落后半步,在任何情况下,都依赖于频繁的更新来保持病毒定义的最新和有效。活的个体通常是抵抗病毒感染的最后一道防线。
因此,那些可能接触到恶意软件的人(通过电子邮件、共享软盘、网络或其他方式)应该接受(至少)检测和处理此类软件的基本培训。基本的员工做法,如不打开未经验证的附件和不遵循未知的嵌入式链接,可以大大保护组织免受感染。
这个规范不应该与反病毒程序本身的实现相混淆。这个特别的规范关注员工实践的意识和培训。反病毒程序是否应该或必须安装在系统级或单个工作站,这是在其他标准下要问的问题,例如“技术保障”组中的完整性标准和访问控制标准。
HIPAA安全提示由Iseman, Cunningham, Riester & Hyde, LLP的律师撰写。ICR&H以为医疗、建筑、金融等行业的企业和个人解决复杂的法律问题和交易而闻名。
(c) 2004Iseman Cunningham Riester & Hyde律师事务所.许可是授予所有归属的复制。
