每家企業(yè)都需要保護其敏感數(shù)據(jù)的安全和隱私,以避免數(shù)據(jù)泄露、知識產(chǎn)權(quán)盜竊和其他可能導(dǎo)致罰款、訴訟以及業(yè)務(wù)失敗。
什么是數(shù)據(jù)風險評估,為什么它很重要?
數(shù)據(jù)風險評估是對企業(yè)如何保護其敏感數(shù)據(jù)以及可能需要進行哪些改進的審查。
企業(yè)應(yīng)該定期執(zhí)行數(shù)據(jù)風險評估,作為審計的一種形式,可以幫助識別信息安全和隱私控制缺陷并降低風險。在數(shù)據(jù)泄露(無論是有意還是無意)之后,需要實施數(shù)據(jù)風險評估,以改善控制并降低未來發(fā)生類似泄露的可能性。
執(zhí)行數(shù)據(jù)風險評估的5個步驟
可以使用以下五個步驟來創(chuàng)建全面的數(shù)據(jù)風險評估。
(1)存儲敏感數(shù)據(jù)
檢查端點、云計算服務(wù)、存儲介質(zhì)和其他位置,以查找和記錄所有敏感數(shù)據(jù)實例。數(shù)據(jù)清單應(yīng)包括可能影響風險要求的任何特征。例如,存儲數(shù)據(jù)的地理位置會影響適用的法律法規(guī)。
確定誰負責每個敏感數(shù)據(jù)實例,以便可以在必要時與他們進行交互。
(2)為每個數(shù)據(jù)實例分配數(shù)據(jù)分類
企業(yè)應(yīng)該為所有敏感數(shù)據(jù)定義數(shù)據(jù)分類,例如“受保護的健康信息”和“個人身份信息”。這些定義應(yīng)表明對于每種敏感數(shù)據(jù)類型,哪些安全和隱私控制是強制性的和推薦的措施。
即使數(shù)據(jù)已經(jīng)有了分類,也要定期重新檢查。數(shù)據(jù)的性質(zhì)會隨著時間而改變,并且可能會出現(xiàn)適用于相關(guān)數(shù)據(jù)的新分類。
(3)優(yōu)先評估哪些敏感數(shù)據(jù)
企業(yè)可能擁有大量的敏感數(shù)據(jù),以至于在每次評估期間都審查所有數(shù)據(jù)是不可行的。如有必要,需要優(yōu)先處理最敏感的數(shù)據(jù)、要求最嚴格的數(shù)據(jù)或未經(jīng)評估的時間最長的數(shù)據(jù)。
(4)檢查所有相關(guān)的安全和隱私控制
審計保護敏感數(shù)據(jù)使用、存儲和傳輸?shù)目刂拼胧?。其常見的審計步驟包括:
·驗證最小特權(quán)原則。確認只有必要的人類和非人類用戶、服務(wù)、管理員和第三方(例如業(yè)務(wù)合作伙伴、承包商和供應(yīng)商)才能訪問敏感數(shù)據(jù),并且他們只有一些必要的訪問權(quán)限,例如只讀、讀寫等。
·確保積極執(zhí)行所有限制數(shù)據(jù)訪問的策略。例如,企業(yè)可能會根據(jù)以下因素限制對某些敏感數(shù)據(jù)的訪問:
o用戶的位置
o數(shù)據(jù)的位置
o其他時間
o一周中的某一天
o用戶的設(shè)備類型
·確保所有其他必要的安全和隱私控制都在使用中。降低風險的常用工具包括:
o數(shù)據(jù)丟失預(yù)防軟件
o防火墻
o加密
o多因素身份驗證
·用戶和實體行為分析。識別數(shù)據(jù)保留違規(guī)。確定是否存在應(yīng)銷毀以符合數(shù)據(jù)保留策略的任何數(shù)據(jù)。
(5)記錄所有安全和隱私控制缺陷
雖然識別安全和隱私缺陷屬于數(shù)據(jù)風險評估的范圍,但修復(fù)它們卻不屬于這個范圍。評估包括以下內(nèi)容是合理的:
·每個缺陷的相對優(yōu)先級。
·解決每個缺陷的推薦行動方案。
這些建議為更好的數(shù)據(jù)安全性提供了路線圖。風險矩陣可以根據(jù)潛在后果的嚴重程度和發(fā)生的可能性,幫助查找問題并確定其優(yōu)先級。
如何使用數(shù)據(jù)風險評估結(jié)果
企業(yè)領(lǐng)導(dǎo)者應(yīng)該制定戰(zhàn)略,以減輕數(shù)據(jù)風險評估中發(fā)現(xiàn)的安全和隱私缺陷,同時考慮補救建議并優(yōu)先考慮高風險問題。
最終,數(shù)據(jù)風險評估的輸出應(yīng)該是企業(yè)風險管理和緩解計劃的主要輸入,有助于做出更明智的決策,從而有助于改善數(shù)據(jù)保護。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號