如何保護企業(yè)內(nèi)部數(shù)據(jù)信息安全?

御數(shù)坊
御數(shù)坊
企業(yè)的信息安全工作一般都會涉及大量的部門,例如運維、開發(fā)、業(yè)務、市場等,需要跨部門協(xié)作才能彌補企業(yè)內(nèi)部已存在的漏洞。缺乏專項負責的組織保障,往往會導致大量的安全維護工作難以高效率的運轉,修復漏洞的流程周期被拖延,任務項被遺忘。

隨著信息技術的快速發(fā)展和各種網(wǎng)絡技術的廣泛應用,企業(yè)越來越多的依賴于數(shù)據(jù)來支撐自己業(yè)務生產(chǎn)的正常運轉。因信息技術發(fā)展產(chǎn)生的海量數(shù)據(jù),作為企業(yè)核心的資產(chǎn)載體,也正是企業(yè)核心競爭力的體現(xiàn)。

根據(jù)中國互聯(lián)網(wǎng)絡信息中心(CNNIC)2018年發(fā)布報告顯示,截至2018年12月,中國網(wǎng)民規(guī)模達8.29億,全年新增網(wǎng)民5653萬,互聯(lián)網(wǎng)普及率為59.6%,較2017年底提升3.8個百分點。

享受大數(shù)據(jù)帶來紅利的同時,個人或企業(yè)的數(shù)據(jù)安全問題也頻頻出現(xiàn)。

根據(jù)Risk Based Security發(fā)布的數(shù)據(jù)泄露報告稱,與2018年同期相比,2019年上半年數(shù)據(jù)泄露事件發(fā)生的數(shù)量和泄漏的數(shù)據(jù)量均增加了50%以上。在被泄露的41億條數(shù)據(jù)中,有32億的數(shù)據(jù)泄露歸咎于8起泄露事件。

報告稱醫(yī)療保健行業(yè)的數(shù)據(jù)泄露事件次數(shù)為224次,零售業(yè)199次,金融和保險領域183次,政府和信息處理部門各160次,教育行業(yè)99次。70%的事件都泄露了電子郵件地址,64%的事件泄露了用戶密碼,23%的泄漏事件中包含姓名,11%的泄露事件包含社會安全號碼,泄露信用卡號碼的事件也占比11%。

其中,最著名的就是同年發(fā)生的臉書超5000萬條的數(shù)據(jù)泄露事件。企業(yè)的核心用戶數(shù)據(jù)被非法獲取,交易以及利用,對企業(yè)的形象以及用戶的個人財產(chǎn)都產(chǎn)生了無法估量的破壞。

那么,企業(yè)應當如何對至關重要的信息安全進行保護呢?

01、建立專項負責的組織保障

企業(yè)的信息安全工作一般都會涉及大量的部門,例如運維、開發(fā)、業(yè)務、市場等,需要跨部門協(xié)作才能彌補企業(yè)內(nèi)部已存在的漏洞。缺乏專項負責的組織保障,往往會導致大量的安全維護工作難以高效率的運轉,修復漏洞的流程周期被拖延,任務項被遺忘。

企業(yè)的安全人才也是重中之重。企業(yè)的信息安全工作需要專業(yè)的安全人才去落實。市場上對信息安全人才的渴求程度早已超乎想象,且信息安全人才一般也無法即插即用,原因在于他需要耗費大量時間了解企業(yè)內(nèi)部系統(tǒng)運行數(shù)據(jù)的流轉。因此,成立專項負責信息安全、建設信息安全的人才梯隊,使企業(yè)內(nèi)部信息安全管理能夠長久有效地運轉。

02、企業(yè)內(nèi)部數(shù)據(jù)的安全分級

一般數(shù)據(jù)的分級分類原則有兩種。一種是根據(jù)數(shù)據(jù)的來源以及數(shù)據(jù)的流向/用途進行分級,另一種則是根據(jù)數(shù)據(jù)的內(nèi)容,其包含的價值以及敏感程度進行分類分級。

舉個簡單的例子,一個企業(yè)可以把其內(nèi)部的數(shù)據(jù)分為三級,不涉密數(shù)據(jù);涉密數(shù)據(jù)以及核心數(shù)據(jù)。

一級:不涉密數(shù)據(jù),即可對外部公開的數(shù)據(jù),數(shù)據(jù)來源有可能是通過外部采購而來。

二級:涉密數(shù)據(jù):企業(yè)內(nèi)部需要傳輸,交換以及共享的數(shù)據(jù)。數(shù)據(jù)的使用需要通過一系列的審批,流轉范圍僅在企業(yè)內(nèi)部,且必須進行數(shù)據(jù)脫敏,并符合企業(yè)的信息安全要求。

三級:核心數(shù)據(jù):企業(yè)內(nèi)部的核心商業(yè)數(shù)據(jù),此類數(shù)據(jù)一般服務與企業(yè)層級較高的部門,支撐某些重大的決策。此類數(shù)據(jù)需慎重處理,需符合企業(yè)的特殊安全要求。

企業(yè)針對不同的數(shù)據(jù)等級,合理安排資源,制定特定的安全策略,把信息安全的重點放在數(shù)據(jù)本身。

03、數(shù)據(jù)的生命周期管理

數(shù)據(jù)安全面臨的問題主要包括數(shù)據(jù)被破壞、非法訪問、復制和使用、數(shù)據(jù)泄露等。根據(jù)數(shù)據(jù)所處產(chǎn)生、存儲、流轉、應用、運維的生命周期階段,制定相應階段的數(shù)據(jù)安全保護策略,確保數(shù)據(jù)在使用過程中不被非法訪問、復制、使用、泄露或破壞。

拿其中的數(shù)據(jù)存儲舉例,首先需確認數(shù)據(jù)的存儲格式,是否擁有備份。此外需要制定相關的信息安全法規(guī)以及流程,確保數(shù)據(jù)不會被無關員工訪問。例如設置訪問權限,使有需權限的員工才能夠訪問,同時設置數(shù)據(jù)管理人員,僅有管理人員才能設置權限且有權限對數(shù)據(jù)進行訪問外的操作。

數(shù)據(jù)安全是一個龐大的課題,其中涉及的領域方方面面,企業(yè)必須重視內(nèi)部數(shù)據(jù)及信息安全,提前制定數(shù)據(jù)安全的規(guī)劃工作,才能有效做到數(shù)據(jù)安全防護,以免造成損失。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門