企業高效數據安全策略制定指南
數據顯示,目前企業組織每年在數據安全防護上投入的資金已經超過千億美元,但數據泄露事件依然在持續增長。研究人員通過對大量數據安全事件的調查發現,其原因在于企業將更多資源投入到建立更高更厚的“城墻”,卻忽視了這些工作本身的科學性與合理性。
因此,企業在實施數據安全保護工作之前,需要首先制定積極、有效的數據安全防護策略,并按策略要求指導數據安全防護能力建設,這對保障數據安全防護效果至關重要。一份高質量數據安全策略的價值,將會體現在以下兩個方面:
1. 可以明確組織如何管理其數據資產的計劃與規則,這確保所有員工清晰了解各自在訪問和保護業務數據方面的責任和義務。
2. 可以證明組織符合政府監管部門的合規要求以及行業數據隱私及安全標準,比如ISO 27001、ISO 27002、《通用數據保護條例》(GDPR)以及我國的《網絡安全法》等。
為了更好地保護企業數據安全投資,安全人員應該更好地理解和診斷自身數據安全盲點。在制定和實施數據安全策略之前,應重點關注以下幾個關鍵要素是否已經具備:
01范圍
要明確列出數據安全策略的關鍵性原則,以及策略實施后的適用對象和應用范圍。
02責任
要明確劃分各環節的人員與責任,列出誰來具體負責管理、升級和維護該策略的關鍵要素和應用準則。
03目標
要能夠清晰展示這份策略的制定理念和實施目標。
04戰略和重心
要闡明實現目標的主要戰略以及所要遵守的相關IT安全法規、框架和標準。
05策略
要概述策略和任何相關流程,以及將如何解決策略違規和更新。
06附加策略
除了基礎性要求,還應該列出可能適用于數據安全策略的其他策略及其適用條件,這可能包括數據分類、終端用戶統計、訪問管理和可接受使用策略等。
07執行管理和審查
要明確規定誰來負責執行策略,同時還要對策略執行情況進行審查,保證策略的有效實施。
圖:數據安全管理策略的協同關系邏輯
企業在完成數據安全策略所需的要素準備后,就可以著手制定數據安全防護策略。一份穩定有效的數據安全保護策略應該符合以下應用要求:
?數據安全策略應該由能夠解決與數據安全相關的運營、法律、合規及其他問題的團隊來牽頭負責制定;
?明確企業內各部門的數據安全需求,數據安全策略應該與業務人員對數據的使用需求保持一致;
?數據安全策略應得到公司管理層的支持,并確保企業中的所有員工統一遵守;
?有合適的技術手段,來保障訪問管理和數據保護的策略目標達成;
?針對可能發生的數據泄露及其他安全事件,要有應急處置的手段和程序,比如數據備份與恢復等;
?對策略的有效性進行測試和驗證,保證數據安全協議和訪問控制措施能夠正常執行;
?將數據安全與其他網絡安全保護工作相結合;
?積極開展安全意識培訓,確保員工、合作伙伴了解策略及各自的職責。如果未遵守策略要求,將受到相應的違規處罰。
