很多機構為實施安全措施而提供了最佳實踐研討會和培訓班。例如，信息系統(tǒng)審計與控制協(xié)會(mⅢ.isaca. com)定期舉辦類似的研討會。同樣，國際職業(yè)安全顧問協(xié)會和全球網(wǎng)格論壇也列出了一個最佳實踐列表，也可以仔細研讀網(wǎng)絡門戶中已發(fā)布的安全最佳實踐。許多免費門戶都致力于安全維護收集的實踐，例如SerchSecurity. com和NIST計算機資源中心。

Gartner Group提出了12個問題，以供最佳安全實踐做出自我評估。這些問題分為3類——人員、過程以及技術——它們隱約地反映了NIST方法學中的管理、 操作以及技術領域：

人員

①你是否會檢查所有可以訪問敏感數(shù)據(jù)、領域及訪問點的雇員的背景？

②一般的雇員是否意識到安全問題？

③他們是否會選擇上報問題？

④他們是否知道怎樣向適當?shù)娜藚R報？

過程

⑤企業(yè)安全策略是否每年至少井級一次？雇員是否經(jīng)常培訓？是否自始至終都貫徹制定的策略？

⑥你的企業(yè)是否采納補丁／升級管理和評估過程，來對新的安全漏洞區(qū)分優(yōu)先級以及調(diào)停。

⑦在前雇員離任之后其賬戶是否會立即被刪除掉？

⑧安全小組代表是否會涉足新項目生命周期的所有階段？

技術

⑨每一個通往互聯(lián)網(wǎng)的路由是否都得到了適當?shù)姆阑饓ΡＷo？

⑩便攜電腦和遠程系統(tǒng)上的敏感數(shù)據(jù)是否已加密？

⑩你是否經(jīng)常用漏洞分析工具來掃描你的系統(tǒng)和網(wǎng)絡，以發(fā)現(xiàn)暴露的安全問題？

⑥是否在全部工作站和服務器上都部署了惡意軟件掃描工具？

通過在線完成這些調(diào)查，機構可以把它的操作同其他公司進行比較，以提供最佳安全實踐比較。