簡析數(shù)據(jù)安全保護(hù)策略中的10個核心要素

數(shù)據(jù)顯示,全球企業(yè)組織每年在數(shù)據(jù)安全防護(hù)上投入的資金已經(jīng)超過千億美元,但數(shù)據(jù)安全威脅態(tài)勢依然嚴(yán)峻,其原因在于企業(yè)將更多資源投入到數(shù)據(jù)安全能力建設(shè)時,卻忽視了這些工作本身的科學(xué)性與合理性。

本文來自微信公眾號安全牛。

數(shù)據(jù)顯示,全球企業(yè)組織每年在數(shù)據(jù)安全防護(hù)上投入的資金已經(jīng)超過千億美元,但數(shù)據(jù)安全威脅態(tài)勢依然嚴(yán)峻,其原因在于企業(yè)將更多資源投入到數(shù)據(jù)安全能力建設(shè)時,卻忽視了這些工作本身的科學(xué)性與合理性。因此,企業(yè)在實施數(shù)據(jù)安全保護(hù)工作之前,需要首先制定一份積極、有效的數(shù)據(jù)安全防護(hù)策略,并按策略要求指導(dǎo)組織的數(shù)據(jù)安全防護(hù)能力建設(shè),這對保障數(shù)據(jù)安全防護(hù)效果至關(guān)重要。

為了更好地保護(hù)在數(shù)據(jù)安全方面的投資,企業(yè)組織應(yīng)該參考以下10個關(guān)鍵要素,提前制定出一份成功、高效的數(shù)據(jù)安全保護(hù)策略。

640 (1).png

圖:數(shù)據(jù)安全保護(hù)策略的關(guān)鍵屬性與核心要素

1

覆蓋數(shù)據(jù)全生命周期的安全性

數(shù)據(jù)生命周期的安全性包括了從數(shù)據(jù)的創(chuàng)建、存儲、歸檔到銷毀的過程,是現(xiàn)代企業(yè)組織數(shù)據(jù)安全保護(hù)策略的基本組成部分,并應(yīng)定期進(jìn)行審查,以確保持續(xù)進(jìn)行的和計劃中的數(shù)據(jù)保護(hù)活動與生命周期同步。隨著組織生成的數(shù)據(jù)量不斷增加,數(shù)據(jù)全生命周期管理變得越來越重要。

2

開展數(shù)據(jù)風(fēng)險管理

在制定數(shù)據(jù)保護(hù)策略時,有效識別和評估數(shù)據(jù)的風(fēng)險態(tài)勢是至關(guān)重要的,因為該策略能夠最大限度地減少數(shù)據(jù)安全事件發(fā)生的可能性,并減輕對相關(guān)數(shù)據(jù)安全事件的破壞程度。因此,組織應(yīng)該定期對數(shù)據(jù)和信息威脅環(huán)境進(jìn)行風(fēng)險評估,確保采取最適合的預(yù)防、檢測、響應(yīng)和緩解技術(shù)。

3

做好數(shù)據(jù)備份和恢復(fù)

一個成功的數(shù)據(jù)安全保護(hù)策略必須要包含數(shù)據(jù)存儲管理相關(guān)的規(guī)劃,包括如何將生產(chǎn)數(shù)據(jù)安全地移入數(shù)據(jù)存儲庫相關(guān)的所有活動,無論是在本地網(wǎng)絡(luò)、云端還是第三方服務(wù)提供商環(huán)境中。一旦數(shù)據(jù)被創(chuàng)建,就應(yīng)該首先將其備份到安全和受保護(hù)的地方以供使用。當(dāng)需要數(shù)據(jù)時,恢復(fù)過程會將其從安全存儲或歸檔中釋放出來,驗證其是否可以使用。這些活動也是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)(BCDR)計劃的關(guān)鍵組成部分,能夠幫助組織在破壞性事件后恢復(fù)并恢復(fù)運營狀態(tài)。

4

明確并保護(hù)數(shù)據(jù)的所有權(quán)

在數(shù)字化時代,數(shù)據(jù)成為新型戰(zhàn)略性資源,而明確對數(shù)據(jù)資產(chǎn)的所有權(quán)則是企業(yè)組織未來收集、占有、使用、開發(fā)數(shù)據(jù)資源的話語依據(jù)。因此組織有必要制定一項保護(hù)數(shù)據(jù)所有權(quán)的保護(hù)政策,以確保其不受內(nèi)部或外部攻擊的損害。數(shù)據(jù)的保密性、完整性和可用性是數(shù)據(jù)保護(hù)的核心需求,因此也應(yīng)該成為組織數(shù)據(jù)安全保護(hù)策略的基本屬性。

5

加強對勒索軟件攻擊的防護(hù)

研究數(shù)據(jù)顯示,勒索軟件攻擊已經(jīng)成為危害組織數(shù)據(jù)安全的頭號威脅。這種攻擊不僅會阻斷用戶對數(shù)據(jù)的訪問,還會通過竊取數(shù)據(jù)和公開數(shù)據(jù)來造成更多的傷害。因此,部署強大的反勒索軟件系統(tǒng)是組織數(shù)據(jù)安全保護(hù)活動的關(guān)鍵組成部分,可以預(yù)防和阻止其對關(guān)鍵數(shù)據(jù)資產(chǎn)和應(yīng)用系統(tǒng)的攻擊破壞。

6

可靠的數(shù)據(jù)訪問管理與控制

組織實現(xiàn)數(shù)據(jù)安全的前提就是要安全地訪問和使用數(shù)據(jù)。數(shù)據(jù)訪問管理和控制措置是否可靠,這是IT系統(tǒng)審計時的重要審查內(nèi)容,也是數(shù)據(jù)安全保護(hù)策略中最重要的組成部分之一。需要說明的是,盡管組織對先進(jìn)的身份驗證技術(shù)越來越感興趣,但密碼技術(shù)仍被廣泛使用以防止未經(jīng)授權(quán)的數(shù)據(jù)訪問。而且,各種密碼管理工具也一直在不斷改進(jìn)完善。

7

符合標(biāo)準(zhǔn)和法規(guī)監(jiān)管要求

保證安全合規(guī)性在組織的數(shù)據(jù)安全保護(hù)策略中都是必不可少的,并且應(yīng)該作為審計過程的一部分進(jìn)行審查。組織的數(shù)據(jù)安全保護(hù)政策可以是一個獨立的規(guī)劃,也可以嵌入到更大的網(wǎng)絡(luò)安全管理策略中。一個成功的數(shù)據(jù)安全保護(hù)策略必須要符合并遵守現(xiàn)有監(jiān)管法規(guī)、法律和相關(guān)標(biāo)準(zhǔn)的要求,包括歐盟的GDPR,以及我國的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等。

8

加強員工數(shù)據(jù)安全保護(hù)意識培養(yǎng)

一個成功的數(shù)據(jù)安全保護(hù)策略必須要超越網(wǎng)絡(luò)安全技術(shù)本身,它應(yīng)該教育所有員工了解他們的數(shù)據(jù)是如何受到保護(hù)的,以及他們對確保數(shù)據(jù)安全承擔(dān)的責(zé)任。對于那些負(fù)責(zé)數(shù)據(jù)保護(hù)的員工必須接受足夠的培訓(xùn),以有效地履行他們的工作。組織在啟動數(shù)據(jù)保護(hù)策略和計劃之前,高級管理層必須了解并批準(zhǔn)該計劃,同時要定期匯報策略落地執(zhí)行的情況,確保高級管理層充分了解組織的數(shù)據(jù)和信息始終得到了有效管理和保護(hù)。

9

定期審計和評估

為確保組織的數(shù)據(jù)安全保護(hù)策略及所有相關(guān)的數(shù)據(jù)安全管理計劃能夠被正確執(zhí)行,必須定期對其應(yīng)用情況進(jìn)行檢查、評估和審計,這一點尤其重要。所有政策、程序、活動和事件的文檔記錄是必不可少的。良好組織的數(shù)據(jù)管理計劃應(yīng)該要求持續(xù)監(jiān)控數(shù)據(jù)創(chuàng)建、傳輸、存儲、歸檔和銷毀的所有方面。通過分析日志和其他存儲庫中的數(shù)據(jù),審計人員可以提供關(guān)于數(shù)據(jù)保護(hù)和管理控制的重要證據(jù)。

10

通過測試演練持續(xù)改進(jìn)

定期對數(shù)據(jù)保護(hù)計劃活動進(jìn)行測試和演練,如數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)訪問管理以及網(wǎng)絡(luò)安全防護(hù)活動,可以確保這些重要計劃的正常運行,并確保執(zhí)行這些計劃的員工了解其角色和責(zé)任。這些活動也是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)(BCDR)計劃的一部分,并為IT審計人員提供重要的證據(jù)。組織必須定期審查和持續(xù)改進(jìn)數(shù)據(jù)保護(hù)及其相關(guān)活動,以符合現(xiàn)有和新的法規(guī)、立法和良好實踐,并為用戶生成最高水平的信心,確保其敏感數(shù)據(jù)和敏感信息得到保護(hù)。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論