首页 > 信息安全 > 正文

用持续改进保障数据安全

2013-09-23 15:36:33  来源:TechTarget中国

摘要:重新梳理数据的归属权,在企业各部分建立安全隐私的观念。安全团队不应该也没必要掌控整个企业的所有数据。数据对于收集、处理和使用其的业务单元来说才是最具价值的。
关键词: 数据安全

    为了提升服务和产品质量以及流程效率,安全主管可以借鉴现成的持续改进方法,比如六西格玛、kaizen和kieffer。针对数据安全和隐私的持续改进可以有助于推动企业内流程、文化和行为的变革,主要通过下列方式:1)建立内嵌安全和隐私的关键流程;2)建立重视数据安全和隐私的文化氛围;3)授权安全团队阻止数据的外泄。


    从何处入手


    实际上,企业中只有两种数据:被人觊觎的数据和其他数据。如今的一个误区是,安全专家们经常对于他们所认为的最具价值的数据进行严格控制,而从不是从那些心有不轨者的角度去评判数据的价值。最常被觊觎的数据可以用3P+IP来描述。3P指的是个人识别信息(personally identifiable information,PII)、个人健康信息(personal health information,PHI)和个人持卡信息(personal cardholder information,PCI),IP则是指知识产权信息(intellectual property)。为了加强对数据的保护,必须重视下列几点:


    了解你的数据。经常出现的一种情况是,企业在制定数据政策时没有从现实情况出发,同时也没有形成对未来的清晰认知。他们对自己的数据毫无头绪 – 包括所拥有的数据以及数据存储的位置。为了制定明确有效的政策并实现自动化,必须首先梳理清楚数据的现状。


    创建重视安全和隐私的文化氛围。在这一方面持续改进具有重大的意义。通过建立安全和隐私文化以及相应的流程,安全主管可以让安全框架覆盖企业运作的各个环节。而且,这也是一种社会责任的体现。在文化和行为是重要组成的同时,框架的建立也关系到企业的愿景。在采集、使用和存储个人信息时,企业必须形成尊重个人隐私的文化。


    两种度量标准:入侵和外泄。尽管有很多其他的标准来评估数据的安全性,入侵和外泄依然是最重要的两个度量。入侵评估主要涉及:是否有恶意软件存在?是否有人在探测不属于其职权范围的网络和系统?泄露方面评估就是检查数据是否有外流。这两种度量标准可以让企业认识到安全隐患,在最大程度上帮助安全团队行使职责。


    关于通过持续改进来改变企业文化和行为准则,有下列三个关键流程:


    通过业务术语,促成统一的认识和行动。无论哪个CEO,都会对你说企业发展和收入增长是其首要考虑的事情。任何一个业务单元的工作都是为了这个终极目标而努力,安全团队也不例外。安全与业务之间的沟通一致可以将原来单纯由IT承担的责任分担到业务端的肩上,有助于安全隐私举措从上而下的贯彻执行。


    重新梳理数据的归属权,在企业各部分建立安全隐私的观念。安全团队不应该也没必要掌控整个企业的所有数据。数据对于收集、处理和使用其的业务单元来说才是最具价值的。与那些对数据最感兴趣的业务单元进行沟通,有助于安全团队确认数据得到了妥善的保护并运用得当。因此,必须厘清数据的归属和相应责任,所有的员工都肩负数据控制的职责,包括创建、使用、拥有或审计等各个环节。


    培养正确的决策理念。要关注具体案例,而非普适性的安全措施。根据员工的特定工作场景来进行安全方面的培训,形成鼓励而非仅仅允许说出自己意见的氛围。如果员工都可以坦率地对自己工作工作范围内的数据隐私实践提出疑问,那么恭喜了,你正走在正确的道路上。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。