2) 为您的企业制定一套安全政策

您是否认为自己的企业太小，黑客看不上眼？很不幸地说，小企业因为IT资源有限，反而是黑客眼中容易下手的目标。因此您务必建立一套容易更新、容易宣传、也容易贯彻的安全政策。
以下是安全政策应该包含的重点：
详列软件使用限制 - 明确列出哪些软件是公司电脑允许安装的，哪些被禁止。
要求采用高强度密码 - 请参阅第四点有关密码的秘诀。
详列电脑使用限制 - 明确列出哪些个人用途是允许的，例如：个人信箱、社交网络等等。
宣传正确的电子邮件使用方式 - 制定内部与外部通讯原则，说明哪些文件可以或不可开启或转发。
考虑采用加密 - 决定是否采用一套电子邮件加密系统来保护您的敏感资料，并且决定使用时机。
指派一位安全策略主管 - 当员工有任何关于安全策略或一般电脑安全问题时，需要有人可以咨询。
强制贯彻 - 要有心理准备当有人违反策略时该如何强制贯彻。

3) 建立社交网络使用原则

Facebook、Twitter，以及LinkedIn这类社交网络已是大势所趋，因此请务必让员工具备一些最佳使用原则的观念。以下是一些可让您企业降低社交媒体风险的方法：
清楚定义所谓的机密 - 将Facebook、Twitter、LinkedIn等社交网站列入您的安全策略及机密信息保密合约中。
提供清楚且容易遵守的原则 - 员工需要知道哪些信息可以张贴在社交媒体上，以及可张贴的人员是谁。  
    这些原则应包含下列几项：
    为了符合伦理道德，所有员工都应表明自己是您公司的员工或受聘人员。
    提醒客户只通过电子邮件或个人信息传送个人数据，让客户知道可以到哪里询问有关机密资讯的相关问题。
    使用类似SocialMedia.org（http://www.socialmedia.org/blogwell ）这样的资源建立您的使用原则，并进一步认识社交媒体。
积极参与社交活动 - 但也要有智慧：
    视您的企业目标而定，仅发布一些您放心让大众广为流传的信息。
    限制员工在线上公开的个人信息。
    避免点击来自不明人士的链接。

4) 使用高强度密码

不论喜欢与否，大多数小企业网络都是使用密码来保护的，因此密码是保护企业网络的关键。您不需成为统计专家就能知道，密码的位数越多，强度就越高。以下是建立高强度密码的原则：
 一开始就使用高强度密码 - 要求使用8至15个字符，并包含数字和符号组合的密码，以防止他人轻易猜到密码。
定期更换密码 - 要求每6个月更换一次密码。
妥善保管密码 - 将密码写下来、将密码储存在手机，或者使用容易猜测的密码，都会让公司处于危险当中。员工应该建立自己能记得住而他人却无法猜到的密码。
使用无意义的密码 - 使用随机字母、数字与特殊符号组合的密码强度最高。例如：!q2w3e4或其他的随机组合。

5) 严肃看待互联网安全

互联网是一种强大的商业工具。但是，如果您的信息安全解决方案无法主动扫瞄内容、追踪恶意程序，并对其他潜在问题发出警告，那么互联网就会变成恶意程序的来源。请务必选择能协助您应付最新威胁，又不会让员工分心的互联网安全解决方案。为了让员工维持生产力，您的解决方案应该要能：
自动更新 - 别指望员工会随时记得保持安全并注意自己访问网络或上网的地点和时间。不论对企业内部人员或远程员工，甚至是使用移动装置的人员来说，自动更新都能让信息安全方案在后台自动运作。
防止不当的互联网使用习惯 - URL过滤可全面（或者在上班时间）禁止员工访问非工作网站，而且这类过滤还可封锁一些危险的链接，保护您的企业。

6) 寻求员工的配合

大家对于大型个人数据外泄事件登上报纸头条已经司空见惯，但是您知道吗，将近80%的数据外泄事件都是人为因素造成的。这是事实，而且原因不外乎是员工将机密或敏感的信息发送给错误的人，或者只是因为没有使用安全的方法发送。
 教大家认识风险 - 由于法规日益严格，个人数据外泄与意外泄漏的后果越来越严重。请教导员工认识法规的要求，以及保护企业数据的最佳实践原则。教大家认识到违反法规的风险，让他们知道如何小心谨慎、降低风险。
别低估个别员工对信息安全的影响 - 如果员工关闭了扫瞄，或者发送不当内容，那么企业就可能面临恶意程序、诉讼与商誉损失等风险。
确实保密 - 让所有员工都了解机密信息与可公开信息的差别。此外，一定要强调机密文件或数据外泄的严重后果。

7) 建立有效的经销商/顾问关系

与IT产品经销商/顾问建立良好关系，您就随时拥有可信赖的咨询对象，可为您提供IT相关问题的意见。
 寻求建议 - 您的经销商或顾问应该协助您挑选适合您企业的解决方案，不仅要随您的需求而成长，而且要能保障您的IT投资。
外包管理 - 您的经销商或顾问甚至可以从远程帮您管理信息安全解决方案，这意味着您可避免许多麻烦，又能获得更好的防护。

8) 以身做则

如果您是一位主管，请以身做则，为企业内的其他人树立模范。建立一个种重视信息安全的小型企业文化，是迈向资料安全的一大步：
成为代言人 - 如果您听到任何新的威胁，或者有任何预防建议，请和大家分享您的最佳实践经验。
有智慧地分享 - 在与他人分享信息之前，请务必确认内容是否来自可靠来源。只要一位用户发送一封病毒邮件，就足以让整个企业遭殃。

9) 让信息安全随时保持更新

您的个人电脑、服务器和移动装置是否拥有业界最佳的威胁情报？手动或不常更新的信息安全软件会让您的门户洞开。常言道，您的安全状态只到上一次更新为止。但是，如果您采用云端安全平台，那么所有更新都会自动在云端完成。
采用托管式解决方案 - 传统的安全解决方案可能会降低您的电脑性能，因此您可以选择让供应商的数据中心为您服务。托管式方案使用的是厂商的数据中心，因此您的电脑与服务器资 源可以节省下来专心应付业务需求。
别再使用旧式防毒软件 - 传统的防毒软件是采用特征比对的方式来检测恶意文件，因此每台电脑上都必须安装所谓的“指纹”或“特征”文件。但由于威胁的繁衍速度惊人，不断更新特征档案将拖慢您的电脑速度。而新的解决方案会检查电子邮件发件人、文 件及网站的信誉，非但不会拖慢您的电脑，还能提供更好更快的防护。
自动化操作系统更新 - 让您电脑的安全修补程序越简单越好。您操作系统的漏洞是黑客的一大助力，因此请确保这类更新能快速自动部署。
要求并检查是否确实应用了补丁程序 - 提供详细的信息，让您的用户了解他们所需使用的软件版本，以及如何查看自己的版本。提供链接并说明如何更新至正确版本。用户一旦发现您非常认真看待这件事，他们自然愿意配合。

10) 选择一个信息安全伙伴，而非只是一家厂商

选择熟悉小型企业环境独特资讯安全需求的厂商。
选择一家信息安全厂商 - 看看您的厂商是否以信息安全为主要核心业务，或者只是提供信息安全附加组件而已。
 查看厂商过去的业绩 - 在对抗各种不同威胁方面享有盛名，而且在小型和大型企业都有实际经验的厂商，才能提供最佳的防护。