似乎对安全团队产生重大影响的一项是：

• 您是否有 CISO 或同等级别的董事会级别的安全保障以及安全技能和专业知识的发展

没有它，团队很快就会对自己缺乏影响力的幻想破灭，并将转向对安全有着更成熟前景的组织。

此外，为了吸引希望确保其长期职业生涯的个人

• 您是否有一个安全能力框架，例如由信息安全专业人员协会开发的涵盖从研究生入学到退休的整个职业生涯的安全能力框架？

• 您有独立的应用程序安全团队吗？（而不是仅运行该节目的网络安全）
• 是首席信息安全官/安全主管/无论你怎么称呼他——既足够技术以了解威胁，又足够精通业务以转化为风险
• 是否有一个整体的 SDL，包括执行、管理和开发人员购买？
• 是否所有员工都必须接受与其工作领域相关的相关安全培训？
• 是否有任何产品/系统/应用程序/等必须在部署之前获得安全签核，并且安全可以阻止它吗？
• 如果/当安全性确实因为严重的漏洞而阻止系统上线时，他们是否受到企业的感谢或诅咒？
• 董事会董事是否受公司安全政策的约束？:)
• 安全部门是被视为技术障碍，还是管理业务风险的行政辅助？

补充几点：

• 您是否使用自动日志管理和分析工具？
• 你分割你的网络吗？
• IT 安全人员是否维护任何生产系统？（是否有职责分离）
• 普通用户有管理员权限吗？

• 您是否对多个物理位置执行定期备份？
• 您是否定期测试从备份恢复？
• 您是否有针对安全问题的风险管理策略？
• 您是否定期对员工进行与他们相关的安全问题的教育？
• 你有安全预算吗？
• 是否有针对敏感数据的技术和管理控制？
• 您是否及时了解安全问题？
• 您是否以纯文本形式存储密码？
• 您使用什么软件来保护您的计算机、服务器和数据？
• 您是否定期将关键软件更新到较新版本？
• 所有员工都必须更改密码吗？