每家企業(yè)都需要保護(hù)其敏感數(shù)據(jù)的安全和隱私,以避免數(shù)據(jù)泄露、知識(shí)產(chǎn)權(quán)盜竊和其他可能導(dǎo)致罰款、訴訟以及業(yè)務(wù)失敗。
什么是數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估,為什么它很重要?
數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估是對(duì)企業(yè)如何保護(hù)其敏感數(shù)據(jù)以及可能需要進(jìn)行哪些改進(jìn)的審查。
企業(yè)應(yīng)該定期執(zhí)行數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估,作為審計(jì)的一種形式,可以幫助識(shí)別信息安全和隱私控制缺陷并降低風(fēng)險(xiǎn)。在數(shù)據(jù)泄露(無(wú)論是有意還是無(wú)意)之后,需要實(shí)施數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估,以改善控制并降低未來(lái)發(fā)生類(lèi)似泄露的可能性。
執(zhí)行數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估的5個(gè)步驟
可以使用以下五個(gè)步驟來(lái)創(chuàng)建全面的數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估。
(1)存儲(chǔ)敏感數(shù)據(jù)
檢查端點(diǎn)、云計(jì)算服務(wù)、存儲(chǔ)介質(zhì)和其他位置,以查找和記錄所有敏感數(shù)據(jù)實(shí)例。數(shù)據(jù)清單應(yīng)包括可能影響風(fēng)險(xiǎn)要求的任何特征。例如,存儲(chǔ)數(shù)據(jù)的地理位置會(huì)影響適用的法律法規(guī)。
確定誰(shuí)負(fù)責(zé)每個(gè)敏感數(shù)據(jù)實(shí)例,以便可以在必要時(shí)與他們進(jìn)行交互。
(2)為每個(gè)數(shù)據(jù)實(shí)例分配數(shù)據(jù)分類(lèi)
企業(yè)應(yīng)該為所有敏感數(shù)據(jù)定義數(shù)據(jù)分類(lèi),例如“受保護(hù)的健康信息”和“個(gè)人身份信息”。這些定義應(yīng)表明對(duì)于每種敏感數(shù)據(jù)類(lèi)型,哪些安全和隱私控制是強(qiáng)制性的和推薦的措施。
即使數(shù)據(jù)已經(jīng)有了分類(lèi),也要定期重新檢查。數(shù)據(jù)的性質(zhì)會(huì)隨著時(shí)間而改變,并且可能會(huì)出現(xiàn)適用于相關(guān)數(shù)據(jù)的新分類(lèi)。
(3)優(yōu)先評(píng)估哪些敏感數(shù)據(jù)
企業(yè)可能擁有大量的敏感數(shù)據(jù),以至于在每次評(píng)估期間都審查所有數(shù)據(jù)是不可行的。如有必要,需要優(yōu)先處理最敏感的數(shù)據(jù)、要求最嚴(yán)格的數(shù)據(jù)或未經(jīng)評(píng)估的時(shí)間最長(zhǎng)的數(shù)據(jù)。
(4)檢查所有相關(guān)的安全和隱私控制
審計(jì)保護(hù)敏感數(shù)據(jù)使用、存儲(chǔ)和傳輸?shù)目刂拼胧F涑R?jiàn)的審計(jì)步驟包括:
·驗(yàn)證最小特權(quán)原則。確認(rèn)只有必要的人類(lèi)和非人類(lèi)用戶(hù)、服務(wù)、管理員和第三方(例如業(yè)務(wù)合作伙伴、承包商和供應(yīng)商)才能訪問(wèn)敏感數(shù)據(jù),并且他們只有一些必要的訪問(wèn)權(quán)限,例如只讀、讀寫(xiě)等。
確保積極執(zhí)行所有限制數(shù)據(jù)訪問(wèn)的策略。例如,企業(yè)可能會(huì)根據(jù)以下因素限制對(duì)某些敏感數(shù)據(jù)的訪問(wèn):
用戶(hù)的位置
數(shù)據(jù)的位置
其他時(shí)間
一周中的某一天
用戶(hù)的設(shè)備類(lèi)型
確保所有其他必要的安全和隱私控制都在使用中。降低風(fēng)險(xiǎn)的常用工具包括:
數(shù)據(jù)丟失預(yù)防軟件
防火墻
加密
多因素身份驗(yàn)證
用戶(hù)和實(shí)體行為分析。識(shí)別數(shù)據(jù)保留違規(guī)。確定是否存在應(yīng)銷(xiāo)毀以符合數(shù)據(jù)保留策略的任何數(shù)據(jù)。
(5)記錄所有安全和隱私控制缺陷
雖然識(shí)別安全和隱私缺陷屬于數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估的范圍,但修復(fù)它們卻不屬于這個(gè)范圍。評(píng)估包括以下內(nèi)容是合理的:
每個(gè)缺陷的相對(duì)優(yōu)先級(jí)。
解決每個(gè)缺陷的推薦行動(dòng)方案。
這些建議為更好的數(shù)據(jù)安全性提供了路線(xiàn)圖。風(fēng)險(xiǎn)矩陣可以根據(jù)潛在后果的嚴(yán)重程度和發(fā)生的可能性,幫助查找問(wèn)題并確定其優(yōu)先級(jí)。
如何使用數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果
企業(yè)領(lǐng)導(dǎo)者應(yīng)該制定戰(zhàn)略,以減輕數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)的安全和隱私缺陷,同時(shí)考慮補(bǔ)救建議并優(yōu)先考慮高風(fēng)險(xiǎn)問(wèn)題。
最終,數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估的輸出應(yīng)該是企業(yè)風(fēng)險(xiǎn)管理和緩解計(jì)劃的主要輸入,有助于做出更明智的決策,從而有助于改善數(shù)據(jù)保護(hù)。
