优化容量和防御恶意软件：ISO 27001 控制 A.8.06 和 A.8.07 释义

A.8.6 容量管理

这项控制措施旨在确保信息处理设施、人力资源、办公室和其他设施具备所需的能力。

应确定并监控信息处理系统、人力资源、办公室和其他设施的能力要求。作为监控活动的一部分，应通过调整资源来提高可用性和效率。应进行压力测试，以确认能够满足高峰期的容量要求。

将系统托管迁移到云服务可有助于容量管理，因为云服务提供商具有弹性和可扩展性规定，允许快速扩展和减少资源，以满足高峰需求。然后可以在需求高峰期对这些资源进行配置，以保持系统的可用性和性能。

为了管理执行业务任务（如人力资源和办公空间）所需的资源能力，应利用当前和预测趋势来尝试和预测未来的需求。管理人员应利用这些信息来识别和避免关键人员的潜在限制，以免对系统安全或服务造成威胁，并制定适当的计划。
。

A.8.7 防范恶意软件

这项控制的目标是确保信息处理设施免受恶意软件的侵害。

您需要确保有检测、预防和恢复恶意软件的控制措施。

最常见的是在员工的机器上安装防病毒软件，以帮助保护他们，并允许企业集中管理和保持更新。
这一领域至关重要，因为网络钓鱼和凭证收集是企业最常报告的信息安全威胁。请考虑向专家寻求建议，以确保您能正确应对。

您还需要考虑其他基础设施，以及如何保护数据、产品和客户环境免受包括勒索软件在内的风险。
在检测和预防恶意软件方面应投入大量精力。几乎每天都要与员工讨论如何处理恶意软件和网络钓鱼。当然，这也是所有员工参加的每月管理会议的一个主题。

时刻关注恶意软件和网络钓鱼的威胁，因为一个疏忽就有可能造成巨大损失。

要点

主要启示如下

• 根据业务目标调整容量：确保容量规划符合当前和预期的业务需求，包括增长、可扩展性和冗余。
• 监控和分析使用趋势：持续监控系统性能、资源利用率和存储，以确定容量趋势并预测未来需求。
• 使用自动化容量工具：利用容量监控和管理工具进行实时数据收集和分析。
• 实施并不断更新强大的反恶意软件解决方案：在所有系统和端点上使用可靠的防病毒和防恶意软件，确保定期更新。
• 教育用户：培训员工识别网络钓鱼企图、恶意网站和可疑文件行为。