隱私信息保護已經(jīng)成為真正的生意，以至于政府和行業(yè)組織已經(jīng)對數(shù)據(jù)安全規(guī)則以及數(shù)據(jù)泄露的相關懲處做出了明確規(guī)定。單美國自己就有許多法律和行業(yè)協(xié)定要求組織制定政策和過程來識別數(shù)據(jù)西樓風險。這些風險還必須基于其安全等級進行進一步分類，規(guī)則還要求制定特殊的保護和控制措施來保護數(shù)據(jù)。進一步還要求公司提供數(shù)據(jù)泄露事件的公開報告，無論是意外造成的還是出于惡意意圖的。

不過盡管有許多這些非常特殊的數(shù)據(jù)保護合規(guī)性指導，挑戰(zhàn)依然。2015年共發(fā)生了781起數(shù)據(jù)泄露事件，受連累的記錄達到7億份。網(wǎng)絡犯罪已經(jīng)發(fā)生了根本性的變化，從對網(wǎng)站造成嚴重危害的分布式拒絕服務攻擊或者信用卡盜竊過渡到更陰險狡詐的犯罪意圖。知識產(chǎn)權盜竊、黑客行為主義(hacktivism)、政府情報收集、數(shù)據(jù)泄露這些活動使得有組織犯罪成為常見的事情。近年來值得注意的一些泄露包括：

索尼身上發(fā)生的企業(yè)知識產(chǎn)權數(shù)據(jù)泄露。

存放在由美國人事管理局(OPM)管理的數(shù)據(jù)庫中上百萬個人可識別信息(PII)的泄露。PII包括了個人的社會安全號碼、生日、地址等信息。

超過1億的健康保險會員記錄被盜，其中健康支付商Anthem泄露規(guī)模最大，被盜記錄達到了7800萬份。

從合規(guī)性角度來說保護敏感數(shù)據(jù)是重要的，但也會提供商業(yè)價值。上述泄露的共同主題是破壞組織安全措施導致的潛在損失與被盜內(nèi)容的價值是直接相關的。比防火，泄露的索尼數(shù)據(jù)有可能包含了商業(yè)運作和交易的信息，這些信息有可能被用來操縱股票市場。OPM泄露有可能導致流氓國家對所有政府員工和承包商都建立檔案，而盜取健康數(shù)據(jù)可以被用來進行保險欺詐。

總之，組織已經(jīng)運用了網(wǎng)絡邊界安全方法，為的是防止泄露并在系統(tǒng)受牽連的情況下提供通知。這種辦法仍然存在一定程度的風險：針對未必實時發(fā)生的泄露，以及在許多情況下等到影響被注意到泄露早已發(fā)生多時或者對哪些數(shù)據(jù)集已被盜取的檢測能力。網(wǎng)絡邊界安全當然是防止數(shù)據(jù)泄露的必要組件，但是對于完整的數(shù)據(jù)保護計劃來說光有這個是不夠的，因為一旦防火墻被攻破，保護就受限了。

美國數(shù)據(jù)保護合規(guī)性監(jiān)管

美國有幾個行業(yè)相關的合規(guī)性法則概括了識別和緩和數(shù)據(jù)安全風險的過程。下面是美國數(shù)據(jù)保護合規(guī)性法則眾多例子當中的一些示例：

在線數(shù)據(jù)保護：兒童在線隱私保護法案(COPPA)要求合理的過程去“保護對兒童個人信息收集的機密性、安全以及完整性。”

金融機構數(shù)據(jù)收集：根據(jù)金融服務現(xiàn)代化法案的安全規(guī)則，“金融機構必須形成書面的描述保護客戶信息規(guī)程的信息安全計劃。”該計劃必須包括“在公司運營的每一個相關領域識別和評估客戶信息風險，并且評估當前控制這些風險的保護措施的效能”的流程。

保護健康信息：健康保險流通與責任法案(HIPAA)隱私規(guī)則的目標是“確保個人的健康信息受到適當保護的同時允許必要的健康信息流動來提供和促進高品質(zhì)的醫(yī)療保健……”

相應地，HIPAA違反通知規(guī)則要求，HIPAA涉及的實體及其關聯(lián)企業(yè)在不安全的受保護健康信息被泄露后要提供通知，這種行為一般是指“在隱私規(guī)則下不被許可的、導致受保護健康信息的安全或隱私受侵犯的使用或者泄露。”

聯(lián)邦機構數(shù)據(jù)保護：”2002年的聯(lián)邦信息安全管理法案(FISMA)要求聯(lián)邦機構制定計劃來提供幫助保護信息資產(chǎn)的信息系統(tǒng)安全。FISMA指導這些機構“提供制定和維護最低要求所需的控制來保護聯(lián)邦信息和信息系統(tǒng)。”

信用卡處理：支付卡行業(yè)數(shù)據(jù)安全標準(PCI-DSS)是一個行業(yè)性的標準，標準提出了若干控制措施來保護存儲的持卡人數(shù)據(jù)并限制對這一數(shù)據(jù)的訪問。

數(shù)據(jù)保護合規(guī)性的實施

更大的洞察要求進行更全面的敏感性分析、風險評估以及數(shù)據(jù)保護合規(guī)性控制的制度。為了強化遵守數(shù)據(jù)保護法規(guī)和行業(yè)指導意見的手段，需要處理好下面這三個實施信息和內(nèi)容保護的關鍵問題：

數(shù)據(jù)感知：在數(shù)據(jù)資產(chǎn)可進行保護之前，我們必須意識到這種數(shù)據(jù)的存在。許多組織缺乏共享、可訪問的主要數(shù)據(jù)集的目錄，更不必說對犯罪分子有可能感興趣的工作組或者桌面的人工產(chǎn)物進行詳細評估了。因此，要在共享的詳細目錄中建立一個數(shù)據(jù)資產(chǎn)目錄來幫助支持數(shù)據(jù)保護合規(guī)性過程。

敏感性評估：設計一個流程來分配被標識的數(shù)據(jù)資產(chǎn)的敏感度。然而，要意識到盡管不是每一個數(shù)據(jù)集都包含有敏感信息，但是從不同數(shù)據(jù)集調(diào)配出來的數(shù)據(jù)可能會創(chuàng)建出不斷需要保護的信息集。要制定形成評估數(shù)據(jù)敏感度的辦法，并且用來對數(shù)據(jù)集進行敏感度認定。

數(shù)據(jù)保護：對于那些包含敏感信息的數(shù)據(jù)集來首，必須運用特定應用方法來保護破壞安全事件的內(nèi)容。要建立訪問控制并且定義數(shù)據(jù)訪問的角色和權限。這可能包括了加密(靜態(tài)和動態(tài))數(shù)據(jù)的手段，以及基于用戶權限級別的數(shù)據(jù)掩碼。

因為數(shù)據(jù)安全團隊成員未必熟悉這些類型的數(shù)據(jù)管理最佳實踐，在數(shù)據(jù)管理專業(yè)人士與安全管理專業(yè)人士之間建立合作關系就顯得至關重要。這里面還需要技術支持全面的數(shù)據(jù)保護計劃，擁有數(shù)據(jù)資產(chǎn)識別和管理的評估工具也很重要。這些技術可以在多個數(shù)據(jù)集組合起來是用來確定受保護數(shù)據(jù)泄露的風險是否會增加。

最后，要考慮利用加密和數(shù)據(jù)掩碼策略的數(shù)據(jù)保護策略的實現(xiàn)方式。通過彌補網(wǎng)絡邊界安全與內(nèi)容保護的鴻溝，你的組織就能擁有一個更加可預測的計劃來將信息安全風險與對數(shù)據(jù)保護規(guī)則的違規(guī)行為降到最低。