数据保护策略
每个企业都需要一个数据保护策略。以下是稳健战略的几个支柱:
1)敏感数据审计
2)评估内部和外部风险
3)定义数据保护策略
4)安全策略
5)合规策略
1、敏感数据审计
在采用数据保护控制措施之前,您必须首先对您的数据进行审计。确定整个组织中使用的数据源、数据类型和存储基础架构。
将数据分为敏感级别,查看组织中已经存在哪些数据保护措施,它们的有效性如何,以及哪些措施可以扩展以保护更敏感的数据。通常,最大的潜力在于利用现有的数据保护系统,这些系统“随处可见”或在整个组织中没有得到一致的使用。
2、评估内部和外部风险
组织中的安全团队应定期评估组织内外可能出现的安全风险。数据保护程序必须围绕这些已知风险进行设计。
内部风险包括IT配置或安全策略中的错误、缺乏强密码、身份验证和用户访问管理不佳,以及对存储服务或设备的无限制访问。一个日益增长的威胁是恶意内部人员或被威胁行为者接管的受损账户。
外部风险包括网络钓鱼、恶意软件分发等社会工程策略,以及SQL注入或分布式拒绝服务(DDoS)等对企业基础设施的攻击。这些和许多大多数安全威胁通常被攻击者用来未经授权访问敏感数据并将其泄露。
3、定义数据保护策略
根据组织对其数据资产和最相关威胁的分析,它应该制定一项数据保护政策,确定:
对每个数据类别的风险容忍度——数据保护是有成本的,必须根据数据的敏感性采取保护措施。
授权和身份验证策略——使用最佳实践和历史信息来确定哪些业务应用程序或用户帐户应该有权访问敏感数据。
4、安全策略
关于数据保护,组织的安全策略应该:
1)采取措施防止威胁行为者访问敏感数据
2)确保安全措施不会损害生产力,也不会阻止员工在需要时随时随地访问数据
3)有效管理备份以防止勒索软件或其他威胁,并确保持续的数据可用性
5、合规策略
最后,数据保护策略必须考虑合规义务。组织或特定业务部门可能受到各种法规或行业特定合规标准的约束。以下是当今影响数据保护的最重要的法规。
各个国家和地区的数据保护策略
1)欧盟(EU):GDPR
《通用数据保护条例》(GDPR)适用于与欧盟公民开展业务的所有组织,无论该公司位于欧盟境内还是境外。不遵守规定可能会导致高达全球销售额4%或2000万欧元的罚款。GDPR保护个人数据,如姓名、身份证号码、出生日期或地址、网络分析数据、医疗信息和生物特征数据。
2)美国的数据保护法
美国没有与GDPR相当的全面法规,但它确实有几项影响数据保护的法规:
《联邦贸易委员会法案》要求各组织尊重消费者隐私并遵守隐私政策。
《健康保险流通与责任法案》(HIPAA)对健康信息的存储、保密和使用进行了规定。
《金融服务现代化法案》(GLBA)对金融机构收集和存储个人数据进行了监管。
《加州消费者隐私法》(CCPA)保护加州居民访问其个人信息、要求删除以及要求不收集或转售其个人数据的权利。
3)澳大利亚的数据保护法
澳大利亚审慎监管局(APRA)于2019年推出了一项名为CPS 234的强制性数据隐私法规。CPS 234要求组织改进信息安全措施,以保护个人数据免受攻击。
CPS 234适用于经认可的存款机构(ADI)、一般保险公司、人寿保险公司、私人健康保险组织和根据RSE获得许可的公司。