《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 企業(yè)高效數(shù)據(jù)安全策略制定指南

企業(yè)高效數(shù)據(jù)安全策略制定指南

2022-11-10
來源:安全牛
關(guān)鍵詞: 數(shù)據(jù)安全 指南

  數(shù)據(jù)顯示,目前企業(yè)組織每年在數(shù)據(jù)安全防護(hù)上投入的資金已經(jīng)超過千億美元,但數(shù)據(jù)泄露事件依然在持續(xù)增長。研究人員通過對大量數(shù)據(jù)安全事件的調(diào)查發(fā)現(xiàn),其原因在于企業(yè)將更多資源投入到建立更高更厚的“城墻”,卻忽視了這些工作本身的科學(xué)性與合理性。

  因此,企業(yè)在實(shí)施數(shù)據(jù)安全保護(hù)工作之前,需要首先制定積極、有效的數(shù)據(jù)安全防護(hù)策略,并按策略要求指導(dǎo)數(shù)據(jù)安全防護(hù)能力建設(shè),這對保障數(shù)據(jù)安全防護(hù)效果至關(guān)重要。一份高質(zhì)量數(shù)據(jù)安全策略的價(jià)值,將會體現(xiàn)在以下兩個(gè)方面:

  1. 可以明確組織如何管理其數(shù)據(jù)資產(chǎn)的計(jì)劃與規(guī)則,這確保所有員工清晰了解各自在訪問和保護(hù)業(yè)務(wù)數(shù)據(jù)方面的責(zé)任和義務(wù)。

  2. 可以證明組織符合政府監(jiān)管部門的合規(guī)要求以及行業(yè)數(shù)據(jù)隱私及安全標(biāo)準(zhǔn),比如ISO 27001、ISO 27002、《通用數(shù)據(jù)保護(hù)條例》(GDPR)以及我國的《網(wǎng)絡(luò)安全法》等。

  為了更好地保護(hù)企業(yè)數(shù)據(jù)安全投資,安全人員應(yīng)該更好地理解和診斷自身數(shù)據(jù)安全盲點(diǎn)。在制定和實(shí)施數(shù)據(jù)安全策略之前,應(yīng)重點(diǎn)關(guān)注以下幾個(gè)關(guān)鍵要素是否已經(jīng)具備:

  01 范圍

  要明確列出數(shù)據(jù)安全策略的關(guān)鍵性原則,以及策略實(shí)施后的適用對象和應(yīng)用范圍。

  02 責(zé)任

  要明確劃分各環(huán)節(jié)的人員與責(zé)任,列出誰來具體負(fù)責(zé)管理、升級和維護(hù)該策略的關(guān)鍵要素和應(yīng)用準(zhǔn)則。

  03 目標(biāo)

  要能夠清晰展示這份策略的制定理念和實(shí)施目標(biāo)。

  04 戰(zhàn)略和重心

  要闡明實(shí)現(xiàn)目標(biāo)的主要戰(zhàn)略以及所要遵守的相關(guān)IT安全法規(guī)、框架和標(biāo)準(zhǔn)。

  05 策略

  要概述策略和任何相關(guān)流程,以及將如何解決策略違規(guī)和更新。

  06 附加策略

  除了基礎(chǔ)性要求,還應(yīng)該列出可能適用于數(shù)據(jù)安全策略的其他策略及其適用條件,這可能包括數(shù)據(jù)分類、終端用戶統(tǒng)計(jì)、訪問管理和可接受使用策略等。

  07 執(zhí)行管理和審查

  要明確規(guī)定誰來負(fù)責(zé)執(zhí)行策略,同時(shí)還要對策略執(zhí)行情況進(jìn)行審查,保證策略的有效實(shí)施。

  微信圖片_20221110130519.png

  圖:數(shù)據(jù)安全管理策略的協(xié)同關(guān)系邏輯

  企業(yè)在完成數(shù)據(jù)安全策略所需的要素準(zhǔn)備后,就可以著手制定數(shù)據(jù)安全防護(hù)策略。一份穩(wěn)定有效的數(shù)據(jù)安全保護(hù)策略應(yīng)該符合以下應(yīng)用要求:

  數(shù)據(jù)安全策略應(yīng)該由能夠解決與數(shù)據(jù)安全相關(guān)的運(yùn)營、法律、合規(guī)及其他問題的團(tuán)隊(duì)來牽頭負(fù)責(zé)制定;

  明確企業(yè)內(nèi)各部門的數(shù)據(jù)安全需求,數(shù)據(jù)安全策略應(yīng)該與業(yè)務(wù)人員對數(shù)據(jù)的使用需求保持一致;

  數(shù)據(jù)安全策略應(yīng)得到公司管理層的支持,并確保企業(yè)中的所有員工統(tǒng)一遵守;

  有合適的技術(shù)手段,來保障訪問管理和數(shù)據(jù)保護(hù)的策略目標(biāo)達(dá)成;

  針對可能發(fā)生的數(shù)據(jù)泄露及其他安全事件,要有應(yīng)急處置的手段和程序,比如數(shù)據(jù)備份與恢復(fù)等;

  對策略的有效性進(jìn)行測試和驗(yàn)證,保證數(shù)據(jù)安全協(xié)議和訪問控制措施能夠正常執(zhí)行;

  將數(shù)據(jù)安全與其他網(wǎng)絡(luò)安全保護(hù)工作相結(jié)合;

  積極開展安全意識培訓(xùn),確保員工、合作伙伴了解策略及各自的職責(zé)。如果未遵守策略要求,將受到相應(yīng)的違規(guī)處罰。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。