作好數(shù)據(jù)安全 需要回答這9個(gè)問(wèn)題
2019年08月15日
數(shù)據(jù)保護(hù)法規(guī)只會(huì)越來(lái)越嚴(yán)格。你需要確保始終將顧客的最大利益放在心上�����。
自從歐盟的《通用數(shù)據(jù)保護(hù)條例》生效以來(lái)�����,加州和紐約分別成功地通過(guò)了《加州消費(fèi)者隱私法案》(California Consumer Privacy Act, CCPA) 和《阻止黑客行為和改進(jìn)電子數(shù)據(jù)安全法案》(Stop Hacks and Improve Electronic Data Security, SHIELD)���。目前還有 12 個(gè)州正在申請(qǐng)批準(zhǔn)數(shù)據(jù)保護(hù)立法����,預(yù)計(jì)這個(gè)數(shù)字還會(huì)增長(zhǎng)。
隨著美國(guó)各地出臺(tái)更多不同的法案���,企業(yè)為了避免高昂的監(jiān)管罰款需要采取的措施只會(huì)變得越來(lái)越復(fù)雜����。這些問(wèn)題得到了答案��,你晚上就會(huì)睡得好一點(diǎn)����。那些有應(yīng)對(duì)攻擊的計(jì)劃或者已經(jīng)在執(zhí)行這些指導(dǎo)方針的人應(yīng)該抱有信心����,他們的企業(yè)將客戶的最佳利益放在心上。
1. 你是否將 “隱私和安全設(shè)計(jì)” 融合到了你的環(huán)境中?
通過(guò)設(shè)計(jì)實(shí)現(xiàn)隱私和安全性��,是一種一開(kāi)始就主動(dòng)整合隱私和數(shù)據(jù)保護(hù)的方法���。這種方法遵循七個(gè)原則�,以在 IT 和業(yè)務(wù)環(huán)境中逐步實(shí)現(xiàn)目標(biāo)����。在特定的技術(shù)�,操作���,體系結(jié)構(gòu)和網(wǎng)絡(luò)的設(shè)計(jì)過(guò)程中��,盡早倡導(dǎo)隱私和安全性將確保你在整個(gè)設(shè)計(jì)生命周期中構(gòu)建成熟的流程����。
2. 敏感數(shù)據(jù)是否在傳輸和靜止期間被加密?
加密密鑰對(duì)于保護(hù)數(shù)據(jù)處理和存儲(chǔ)的數(shù)據(jù)至關(guān)重要���。密鑰管理的級(jí)別應(yīng)該與這些密鑰所服務(wù)的關(guān)鍵功能的級(jí)別相對(duì)應(yīng)�。我強(qiáng)烈建議定期更新加密密鑰����,并與數(shù)據(jù)分開(kāi)存儲(chǔ)。本質(zhì)上數(shù)據(jù)總在移動(dòng)�,當(dāng)它跨邊界移動(dòng)時(shí),保護(hù)這些信息需要對(duì)其靜止和傳輸過(guò)程進(jìn)行強(qiáng)加密�。
3. 是否需要根據(jù)需要訪問(wèn)數(shù)據(jù)?
數(shù)據(jù)始終應(yīng)該被劃分為敏感數(shù)據(jù)和非敏感數(shù)據(jù),并且只能由有合法業(yè)務(wù)理由的授權(quán)員工訪問(wèn)���。采用基于角色的權(quán)限和 “根據(jù)需要” 進(jìn)行限制將有助于保護(hù)你的數(shù)據(jù)��。強(qiáng)烈建議始終使用具有多因素身份驗(yàn)證的非共享用戶名和密碼����,這將會(huì)驗(yàn)證每個(gè)用戶。此外����,每年至少應(yīng)該進(jìn)行一次訪問(wèn)審查;這將確保為正確的人提供合適的訪問(wèn)權(quán)限。
4. 是否有災(zāi)難恢復(fù)和備份環(huán)境?
在當(dāng)今的數(shù)字世界中��,擁有災(zāi)難恢復(fù) (DR) 和備份環(huán)境是必須的��。DR 和業(yè)務(wù)連續(xù)性 (BC) 計(jì)劃必須到位���,所有相關(guān)人員都應(yīng)該被告知他們的角色�����。DR 和 BC 計(jì)劃應(yīng)該每年進(jìn)行一次測(cè)試,然后總結(jié)經(jīng)驗(yàn)教訓(xùn)�。將生產(chǎn)和備份位置分開(kāi)幾百英里能在發(fā)生自然災(zāi)害或人為災(zāi)難時(shí)提高數(shù)據(jù)的安全性。
5. 是否進(jìn)行了漏洞���、風(fēng)險(xiǎn)��、滲透和其他審計(jì)評(píng)估?
評(píng)估工作應(yīng)該貫穿全年����。你的團(tuán)隊(duì)?wèi)?yīng)該針對(duì)環(huán)境中的信息系統(tǒng)和操作區(qū)域進(jìn)行評(píng)估。對(duì)所有資產(chǎn)(內(nèi)部和外部)進(jìn)行這些評(píng)估非常重要�����。你的分析應(yīng)該分五個(gè)步驟完成:
了解事件發(fā)生的可能性��,并了解該威脅可能對(duì)你的系統(tǒng)造成的影響��。
6. 是否有刪除或銷毀數(shù)據(jù)的流程?
無(wú)論是誰(shuí)在處理你的數(shù)據(jù)���,都應(yīng)該有一個(gè)數(shù)據(jù)保留計(jì)劃����。制定計(jì)劃將確保你在刪除一定時(shí)間范圍內(nèi)的數(shù)據(jù)����。在制定數(shù)據(jù)保留計(jì)劃并了解可以刪除哪些內(nèi)容之后,應(yīng)該遵循正確刪除和銷毀數(shù)據(jù)的安全最佳實(shí)踐�����。遵循行業(yè)標(biāo)準(zhǔn),如國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì) (NIST)����,將確保你的員工知道如何以及何時(shí)銷毀和刪除數(shù)據(jù)。任何符合 NIST 800-88 數(shù)據(jù)清理指南的方法都應(yīng)該被獲準(zhǔn)使用����。
7. 你是否建立了事件響應(yīng)團(tuán)隊(duì)和數(shù)據(jù)泄漏計(jì)劃?
你的企業(yè)應(yīng)該有一個(gè)強(qiáng)大的事件響應(yīng) (IR) 和數(shù)據(jù)泄漏計(jì)劃,并且應(yīng)該每年進(jìn)行測(cè)試�����。IR團(tuán)隊(duì)的職責(zé)應(yīng)該是管理IR流程��,防范攻擊���,并在事件發(fā)生時(shí)防止進(jìn)一步的損失發(fā)生�,為了防止攻擊再次發(fā)生做出改進(jìn)�����,并報(bào)告任何安全事件的結(jié)果�。
你的內(nèi)部計(jì)劃應(yīng)基于行業(yè)領(lǐng)導(dǎo)者制定��,并涵蓋以下三個(gè)階段:
第一階段:檢測(cè)、評(píng)估和分類���。
第二階段:遏制����、收集證據(jù)���、分析和調(diào)查以及補(bǔ)救���。
第三階段:修復(fù)、恢復(fù)和反思���。必須及時(shí)通知客戶�����,這應(yīng)該在你的協(xié)議中詳細(xì)說(shuō)明���。
8. 你在記錄安全事件嗎?
應(yīng)該啟用日志功能,以便為所有對(duì)敏感數(shù)據(jù)的訪問(wèn)建立足夠的審計(jì)跟蹤��。日志記錄也應(yīng)該在應(yīng)用程序級(jí)別執(zhí)行。應(yīng)該實(shí)現(xiàn)自動(dòng)審計(jì)跟蹤來(lái)重構(gòu)系統(tǒng)事件�,并且應(yīng)該保護(hù)它們不被任何方式所更改。應(yīng)該采用文件完整性監(jiān)控來(lái)確保所有客戶數(shù)據(jù)的機(jī)密性��、完整性和可用性��。
9. 你在持續(xù)更新隱私政策嗎?
你的企業(yè)需要預(yù)先了解它正在收集的信息�。你應(yīng)該嚴(yán)格遵守最新的安全和隱私規(guī)定,以避免任何法律問(wèn)題����。如果你的組織機(jī)構(gòu)正在收集有關(guān)客戶的任何數(shù)據(jù)(例如,IP 地址��、位置等)��,那么你的隱私策略必須對(duì)所有客戶都適用����。你的隱私政策應(yīng)該考慮到所有主要的利益相關(guān)者、法律團(tuán)隊(duì)���、營(yíng)銷團(tuán)隊(duì)和安全性問(wèn)題����。
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
