数据显示,目前企业组织每年在数据安全防护上投入的资金已经超过千亿美元,但数据泄露事件依然在持续增长。研究人员通过对大量数据安全事件的调查发现,其原因在于企业将更多资源投入到建立更高更厚的“城墙”,却忽视了这些工作本身的科学性与合理性。
因此,企业在实施数据安全保护工作之前,需要首先制定积极、有效的数据安全防护策略,并按策略要求指导数据安全防护能力建设,这对保障数据安全防护效果至关重要。一份高质量数据安全策略的价值,将会体现在以下两个方面:
1. 可以明确组织如何管理其数据资产的计划与规则,这确保所有员工清晰了解各自在访问和保护业务数据方面的责任和义务。
2. 可以证明组织符合政府监管部门的合规要求以及行业数据隐私及安全标准,比如ISO 27001、ISO 27002、《通用数据保护条例》(GDPR)以及我国的《网络安全法》等。
为了更好地保护企业数据安全投资,安全人员应该更好地理解和诊断自身数据安全盲点。在制定和实施数据安全策略之前,应重点关注以下几个关键要素是否已经具备:
1、范围
要明确列出数据安全策略的关键性原则,以及策略实施后的适用对象和应用范围。
2、责任
要明确划分各环节的人员与责任,列出谁来具体负责管理、升级和维护该策略的关键要素和应用准则。
3、目标
要能够清晰展示这份策略的制定理念和实施目标。
4、战略和重心
要阐明实现目标的主要战略以及所要遵守的相关IT安全法规、框架和标准。
5、策略
要概述策略和任何相关流程,以及将如何解决策略违规和更新。
6、附加策略
除了基础性要求,还应该列出可能适用于数据安全策略的其他策略及其适用条件,这可能包括数据分类、终端用户统计、访问管理和可接受使用策略等。
7、执行管理和审查
要明确规定谁来负责执行策略,同时还要对策略执行情况进行审查,保证策略的有效实施。
图:数据安全管理策略的协同关系逻辑
企业在完成数据安全策略所需的要素准备后,就可以着手制定数据安全防护策略。一份稳定有效的数据安全保护策略应该符合以下应用要求:
•数据安全策略应该由能够解决与数据安全相关的运营、法律、合规及其他问题的团队来牵头负责制定。
•明确企业内各部门的数据安全需求,数据安全策略应该与业务人员对数据的使用需求保持一致。
•数据安全策略应得到公司管理层的支持,并确保企业中的所有员工统一遵守。
•有合适的技术手段,来保障访问管理和数据保护的策略目标达成。
•针对可能发生的数据泄露及其他安全事件,要有应急处置的手段和程序,比如数据备份与恢复等。
•对策略的有效性进行测试和验证,保证数据安全协议和访问控制措施能够正常执行;。
•将数据安全与其他网络安全保护工作相结合。
•积极开展安全意识培训,确保员工、合作伙伴了解策略及各自的职责。如果未遵守策略要求,将受到相应的违规处罚。
