當(dāng)人們?yōu)闉?zāi)難做好準(zhǔn)備時(shí)，首席信息官喬納森·費(fèi)爾德曼為公共安全專業(yè)人士提供了線索：他們針對(duì)對(duì)各種可能的情況進(jìn)行訓(xùn)練，即使他們不能預(yù)見所有可能發(fā)生的情況。

“他們有一定的準(zhǔn)備，并具有協(xié)議和計(jì)劃。”來自北卡羅來納州阿什維爾市的首席信息官費(fèi)爾德曼說。費(fèi)爾德曼表示，他的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性規(guī)劃遵循這一邏輯。因此，該計(jì)劃包含了防范各類事件的程序，其中包括數(shù)據(jù)泄露，盡管他的IT團(tuán)隊(duì)無法提前或準(zhǔn)確地預(yù)見事件將如何展開。

費(fèi)爾德曼的做法與災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性規(guī)劃的最新思想路線一致。同樣靈活的數(shù)據(jù)破壞計(jì)劃應(yīng)該考慮到這些關(guān)鍵點(diǎn)：

1.開始進(jìn)行風(fēng)險(xiǎn)評(píng)估。伯克利研究集團(tuán)網(wǎng)絡(luò)安全咨詢總經(jīng)理戴維·菲利普斯表示，首席信息官和其他高管需要確定哪些業(yè)務(wù)功能是最重要的，使他們可以優(yōu)先恢復(fù)哪些系統(tǒng)。

2．設(shè)置閾值。德勤咨詢公司戰(zhàn)略風(fēng)險(xiǎn)服務(wù)主管達(dá)米安·威露士表示，并非所有的數(shù)據(jù)泄露產(chǎn)生的影響都具有相同的水平，一些違規(guī)行為可能只會(huì)導(dǎo)致最小的中斷。數(shù)據(jù)破壞計(jì)劃應(yīng)設(shè)置閾值并匹配相應(yīng)的響應(yīng)級(jí)別。

3．演練不發(fā)生意外。來自北卡羅來納州阿什維爾市的首席信息官喬納森·弗萊德曼表示，在演練前，他們做好計(jì)劃，這意味著他們的資源優(yōu)先。

計(jì)劃分流。詳細(xì)的IT團(tuán)隊(duì)將如何確定哪些系統(tǒng)會(huì)受到違約的影響，以及這種影響的范圍和哪些系統(tǒng)是最關(guān)鍵的，因此首先需要注意的問題是如何封鎖和保護(hù)數(shù)據(jù)，并預(yù)計(jì)中斷將持續(xù)多久。

4．建立靈活的計(jì)劃。數(shù)據(jù)破壞計(jì)劃應(yīng)該是顆粒狀,而且模塊化的。“要建立靈活的計(jì)劃，以便企業(yè)能以最好的方式作出回應(yīng)。”威爾遜·埃爾瑟律師事務(wù)所數(shù)據(jù)隱私和安全主管，律師梅麗莎·溫特羅恩表示。

5．確定哪些人會(huì)處理哪些角色。每個(gè)人都應(yīng)該知道自己的角色，以及在組織中的角色。”菲利普斯說。聯(lián)系人名冊(cè)應(yīng)列出每個(gè)具體的功能和他人的聯(lián)系信息，以及組織的名稱（最好是固定的，以保證及時(shí)的反應(yīng)）。

6.法律法規(guī)要求。建立執(zhí)行危機(jī)管理團(tuán)隊(duì)，可以便滿足對(duì)數(shù)據(jù)泄露相應(yīng)的法律和法規(guī)要求，而企業(yè)的公關(guān)人員可以幫助正確地告知客戶和消費(fèi)者，溫特羅恩說。

7.建立替代系統(tǒng)。有些企業(yè)的替代系統(tǒng)總是在準(zhǔn)備，有的計(jì)劃恢復(fù)到手動(dòng)流程，而其他公司會(huì)建立替代系統(tǒng)。“企業(yè)需要有一個(gè)詳細(xì)的計(jì)劃，如果這個(gè)系統(tǒng)受到損害，沒有系統(tǒng)的運(yùn)作，行業(yè)人士們?nèi)绾卫^續(xù)經(jīng)營業(yè)務(wù)，因此需要建議采用IT替代系統(tǒng)。”菲利普斯說。

8.運(yùn)行演練。根據(jù)特定類型的災(zāi)害和違規(guī)來設(shè)置模擬事件。每個(gè)組織都必須確定他們是否需要外部幫助來進(jìn)行演練，如何經(jīng)常進(jìn)行演練和如何測(cè)試。但是費(fèi)爾德曼表示，制定完成這些測(cè)試的計(jì)劃和規(guī)定是至關(guān)重要的。“為了演習(xí)不發(fā)生意外，需要有備用的計(jì)劃，并優(yōu)先考慮保護(hù)他們的資源，”費(fèi)爾德曼說，并指出組織應(yīng)該定期運(yùn)行演練。