每家企業都需要保護其敏感數據的安全和隱私,以避免數據泄露、知識產權盜竊和其他可能導致罰款、訴訟以及業務失敗。
什么是數據風險評估,為什么它很重要?
數據風險評估是對企業如何保護其敏感數據以及可能需要進行哪些改進的審查。
企業應該定期執行數據風險評估,作為審計的一種形式,可以幫助識別信息安全和隱私控制缺陷并降低風險。在數據泄露(無論是有意還是無意)之后,需要實施數據風險評估,以改善控制并降低未來發生類似泄露的可能性。
執行數據風險評估的5個步驟
可以使用以下五個步驟來創建全面的數據風險評估。
(1)存儲敏感數據
檢查端點、云計算服務、存儲介質和其他位置,以查找和記錄所有敏感數據實例。數據清單應包括可能影響風險要求的任何特征。例如,存儲數據的地理位置會影響適用的法律法規。
確定誰負責每個敏感數據實例,以便可以在必要時與他們進行交互。
(2)為每個數據實例分配數據分類
企業應該為所有敏感數據定義數據分類,例如“受保護的健康信息”和“個人身份信息”。這些定義應表明對于每種敏感數據類型,哪些安全和隱私控制是強制性的和推薦的措施。
即使數據已經有了分類,也要定期重新檢查。數據的性質會隨著時間而改變,并且可能會出現適用于相關數據的新分類。
(3)優先評估哪些敏感數據
企業可能擁有大量的敏感數據,以至于在每次評估期間都審查所有數據是不可行的。如有必要,需要優先處理最敏感的數據、要求最嚴格的數據或未經評估的時間最長的數據。
(4)檢查所有相關的安全和隱私控制
審計保護敏感數據使用、存儲和傳輸的控制措施。其常見的審計步驟包括:
·驗證最小特權原則。確認只有必要的人類和非人類用戶、服務、管理員和第三方(例如業務合作伙伴、承包商和供應商)才能訪問敏感數據,并且他們只有一些必要的訪問權限,例如只讀、讀寫等。
·確保積極執行所有限制數據訪問的策略。例如,企業可能會根據以下因素限制對某些敏感數據的訪問:
o用戶的位置
o數據的位置
o其他時間
o一周中的某一天
o用戶的設備類型
·確保所有其他必要的安全和隱私控制都在使用中。降低風險的常用工具包括:
o數據丟失預防軟件
o防火墻
o加密
o多因素身份驗證
·用戶和實體行為分析。識別數據保留違規。確定是否存在應銷毀以符合數據保留策略的任何數據。
(5)記錄所有安全和隱私控制缺陷
雖然識別安全和隱私缺陷屬于數據風險評估的范圍,但修復它們卻不屬于這個范圍。評估包括以下內容是合理的:
·每個缺陷的相對優先級。
·解決每個缺陷的推薦行動方案。
這些建議為更好的數據安全性提供了路線圖。風險矩陣可以根據潛在后果的嚴重程度和發生的可能性,幫助查找問題并確定其優先級。
如何使用數據風險評估結果
企業領導者應該制定戰略,以減輕數據風險評估中發現的安全和隱私缺陷,同時考慮補救建議并優先考慮高風險問題。
最終,數據風險評估的輸出應該是企業風險管理和緩解計劃的主要輸入,有助于做出更明智的決策,從而有助于改善數據保護。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號