五大要素：保护企业数据安全

五大要素：保护企业数据安全

如果安全人员不理解企企业数据的真正价值，就很难真正理解企业面临的真正威胁，也就无法真正理解企业的安全计划、安全过程和程序是否真正有效。

安全人员的任务可能非常艰巨：从诸多担心、不确定因素和似是而非的问题中抽丝剥茧，评估不同的风险状态和这些风险在企业发生的可能性。然后再确定如何使用必要的技术使这些风险最小化。

重视数据

许多企业花费了太多时间用于工具，而对于数据的重视程度却远远不够。与数据相比，技术相对简单。更困难的问题是了解数据。

无论IT专业人员还是一般的业务专业人士都需要认识到企业需要部署控制和保护，以跟踪数据的流向和目的地。但往往很多企业没有这个安全概念。要让企业把钱花在不一定发生的潜在威胁上非常困难。只有在发生了危害后，企业才开始重新评估其安全策略。

了解风险

企业信息风险的概况，安全管理者应从确认所有的关键业务过程及其工作方式开始。调查企业的逻辑和物理资产，无论是数据、技术、人员还是过程，都必须包括在内。安全管理员应与拥有这些过程涉及的人员交流，发现他们的风险要求和感受水平。例如：

1. 风险在何种情况下会产生危害？

2. 企业的敏感点（痛点）在哪里？

3. 是效率还是可用性？亦或是资产自身？

这些痛点在不同的企业之间是不同的。这个过程的一部分就是要理解企业所面临的不同风险状况。在这些状况中，哪些是真正可能发生的？安全管理者应关注哪些？如何应对这些状况，在哪一点上开始对付这种状况？

由此，安全管理者才可以部署控制、功能、框架、过程、方法、人员进行应对。企业需要一种信息管理策略，（可参考：《业务网U口数据导出联网审计预警报表最佳实践》），以帮助企业更好地确定和实施安全策略和过程。

安全评估

在确认了适当的风险状况和理解了风险要求后，还要考虑到随着时间的推移，问题会发生变化。企业的风险要求需要重新调整。安全管理员需要讲求实效，并更现实地认识这些风险。

在准备好策略、过程、工具后，评估其效能就要求企业具有安全实践和过程的专业知识，并理解公司的内部程序。这种评估可通过内部的专业人员或外部的审计人员实施。

可根据如下几个方面评估企业的安全准备水平，或评估当前状态与目标状态的差距。

1. 安全文化：评估企业在安全意识培训中是否使用多种方法。

2. 审计问题：评估企业是否将安全问题包含在项目计划和变更管理过程中。

3. 合规管理：评估企业是否为合规管理过程明确地规定了责任和义务。

4. 策略和过程管理：评估企业将物理安全整合到其它过程的程度。

5. 事件管理：评估企业的事件监视是否包括了所有的安全方面。

6. 风险分析：评估企业是否将风险分析的结果明确地传达给所有重大项目的项目团队。

7. 漏洞管理：评估企业用安全策略和过程审计是否合规的频率。

保护范围

企业在开始规划安全项目之前，管理者应该具备正确的数据安全保护的认知及理念，充分的理解这些难点是制定有效的数据防泄露计划的关键。

1. 哪些信息是需要保护的？

2. 这些数据在哪里以及有谁负责保管？

3. 这些数据面临什么样的风险，现在是如何保护的？

4. 企业是否已经有数据安全保护的政策及策略要求？

5. 企业高层及管理层对数据保护的期望及要求有哪些？

在确定了各个问题后，我们便可基本得到数据保护的范围及目标，可以清晰的制定出执行计划及阶段目标。这样可避免在执行过程中项目实施范围外延，时间和成本难以控制等问题发生。可参考《无锡地税业务账户登录审计最佳实践》。

产品选择

其实，在选择一款合适的产品需要花费大量的时间进行完整的评估及测试工作。同时对于自己企业现状与所处行业特点，企业应该综合考虑选择合适自己的防泄露产品。考虑其安全性、合规性、易用性、成熟度、解决方方案及服务能力六个维度，通过综合的考虑和评比完成产品的选型工作，最大程度上降低项目执行风险。

数据安全项目作为难度较高的信息安全管理项目之一，除产品本身稳定成熟外，更需要关注的是实施方对于数据泄密风险及项目实施过程中风险的理解和把控能力，以及专业服务团队的能力和经验带来的价值，对于一个成功的数据安全项目而言两者缺一不可。