數(shù)據(jù)顯示，全球企業(yè)組織每年在數(shù)據(jù)安全防護(hù)上投入的資金已經(jīng)超過千億美元，但數(shù)據(jù)安全威脅態(tài)勢依然嚴(yán)峻，其原因在于企業(yè)將更多資源投入到數(shù)據(jù)安全能力建設(shè)時，卻忽視了這些工作本身的科學(xué)性與合理性。因此，企業(yè)在實施數(shù)據(jù)安全保護(hù)工作之前，需要首先制定一份積極、有效的數(shù)據(jù)安全防護(hù)策略，并按策略要求指導(dǎo)組織的數(shù)據(jù)安全防護(hù)能力建設(shè)，這對保障數(shù)據(jù)安全防護(hù)效果至關(guān)重要。

為了更好地保護(hù)在數(shù)據(jù)安全方面的投資，企業(yè)組織應(yīng)該參考以下10個關(guān)鍵要素，提前制定出一份成功、高效的數(shù)據(jù)安全保護(hù)策略。

圖片

圖：數(shù)據(jù)安全保護(hù)策略的關(guān)鍵屬性與核心要素

1、覆蓋數(shù)據(jù)全生命周期的安全性

數(shù)據(jù)生命周期的安全性包括了從數(shù)據(jù)的創(chuàng)建、存儲、歸檔到銷毀的過程，是現(xiàn)代企業(yè)組織數(shù)據(jù)安全保護(hù)策略的基本組成部分，并應(yīng)定期進(jìn)行審查，以確保持續(xù)進(jìn)行的和計劃中的數(shù)據(jù)保護(hù)活動與生命周期同步。隨著組織生成的數(shù)據(jù)量不斷增加，數(shù)據(jù)全生命周期管理變得越來越重要。

2、開展數(shù)據(jù)風(fēng)險管理

在制定數(shù)據(jù)保護(hù)策略時，有效識別和評估數(shù)據(jù)的風(fēng)險態(tài)勢是至關(guān)重要的，因為該策略能夠最大限度地減少數(shù)據(jù)安全事件發(fā)生的可能性，并減輕對相關(guān)數(shù)據(jù)安全事件的破壞程度。因此，組織應(yīng)該定期對數(shù)據(jù)和信息威脅環(huán)境進(jìn)行風(fēng)險評估，確保采取最適合的預(yù)防、檢測、響應(yīng)和緩解技術(shù)。

3、做好數(shù)據(jù)備份和恢復(fù)

一個成功的數(shù)據(jù)安全保護(hù)策略必須要包含數(shù)據(jù)存儲管理相關(guān)的規(guī)劃，包括如何將生產(chǎn)數(shù)據(jù)安全地移入數(shù)據(jù)存儲庫相關(guān)的所有活動，無論是在本地網(wǎng)絡(luò)、云端還是第三方服務(wù)提供商環(huán)境中。一旦數(shù)據(jù)被創(chuàng)建，就應(yīng)該首先將其備份到安全和受保護(hù)的地方以供使用。當(dāng)需要數(shù)據(jù)時，恢復(fù)過程會將其從安全存儲或歸檔中釋放出來，驗證其是否可以使用。這些活動也是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)（BCDR）計劃的關(guān)鍵組成部分，能夠幫助組織在破壞性事件后恢復(fù)并恢復(fù)運營狀態(tài)。

4、明確并保護(hù)數(shù)據(jù)的所有權(quán)

在數(shù)字化時代，數(shù)據(jù)成為新型戰(zhàn)略性資源，而明確對數(shù)據(jù)資產(chǎn)的所有權(quán)則是企業(yè)組織未來收集、占有、使用、開發(fā)數(shù)據(jù)資源的話語依據(jù)。因此組織有必要制定一項保護(hù)數(shù)據(jù)所有權(quán)的保護(hù)政策，以確保其不受內(nèi)部或外部攻擊的損害。數(shù)據(jù)的保密性、完整性和可用性是數(shù)據(jù)保護(hù)的核心需求，因此也應(yīng)該成為組織數(shù)據(jù)安全保護(hù)策略的基本屬性。

5、加強(qiáng)對勒索軟件攻擊的防護(hù)

研究數(shù)據(jù)顯示，勒索軟件攻擊已經(jīng)成為危害組織數(shù)據(jù)安全的頭號威脅。這種攻擊不僅會阻斷用戶對數(shù)據(jù)的訪問，還會通過竊取數(shù)據(jù)和公開數(shù)據(jù)來造成更多的傷害。因此，部署強(qiáng)大的反勒索軟件系統(tǒng)是組織數(shù)據(jù)安全保護(hù)活動的關(guān)鍵組成部分，可以預(yù)防和阻止其對關(guān)鍵數(shù)據(jù)資產(chǎn)和應(yīng)用系統(tǒng)的攻擊破壞。

6、可靠的數(shù)據(jù)訪問管理與控制

組織實現(xiàn)數(shù)據(jù)安全的前提就是要安全地訪問和使用數(shù)據(jù)。數(shù)據(jù)訪問管理和控制措置是否可靠，這是IT系統(tǒng)審計時的重要審查內(nèi)容，也是數(shù)據(jù)安全保護(hù)策略中最重要的組成部分之一。需要說明的是，盡管組織對先進(jìn)的身份驗證技術(shù)越來越感興趣，但密碼技術(shù)仍被廣泛使用以防止未經(jīng)授權(quán)的數(shù)據(jù)訪問。而且，各種密碼管理工具也一直在不斷改進(jìn)完善。

7、符合標(biāo)準(zhǔn)和法規(guī)監(jiān)管要求

保證安全合規(guī)性在組織的數(shù)據(jù)安全保護(hù)策略中都是必不可少的，并且應(yīng)該作為審計過程的一部分進(jìn)行審查。組織的數(shù)據(jù)安全保護(hù)政策可以是一個獨立的規(guī)劃，也可以嵌入到更大的網(wǎng)絡(luò)安全管理策略中。一個成功的數(shù)據(jù)安全保護(hù)策略必須要符合并遵守現(xiàn)有監(jiān)管法規(guī)、法律和相關(guān)標(biāo)準(zhǔn)的要求，包括歐盟的GDPR，以及我國的《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等。

8、加強(qiáng)員工數(shù)據(jù)安全保護(hù)意識培養(yǎng)

一個成功的數(shù)據(jù)安全保護(hù)策略必須要超越網(wǎng)絡(luò)安全技術(shù)本身，它應(yīng)該教育所有員工了解他們的數(shù)據(jù)是如何受到保護(hù)的，以及他們對確保數(shù)據(jù)安全承擔(dān)的責(zé)任。對于那些負(fù)責(zé)數(shù)據(jù)保護(hù)的員工必須接受足夠的培訓(xùn)，以有效地履行他們的工作。組織在啟動數(shù)據(jù)保護(hù)策略和計劃之前，高級管理層必須了解并批準(zhǔn)該計劃，同時要定期匯報策略落地執(zhí)行的情況，確保高級管理層充分了解組織的數(shù)據(jù)和信息始終得到了有效管理和保護(hù)。

9、定期審計和評估

為確保組織的數(shù)據(jù)安全保護(hù)策略及所有相關(guān)的數(shù)據(jù)安全管理計劃能夠被正確執(zhí)行，必須定期對其應(yīng)用情況進(jìn)行檢查、評估和審計，這一點尤其重要。所有政策、程序、活動和事件的文檔記錄是必不可少的。良好組織的數(shù)據(jù)管理計劃應(yīng)該要求持續(xù)監(jiān)控數(shù)據(jù)創(chuàng)建、傳輸、存儲、歸檔和銷毀的所有方面。通過分析日志和其他存儲庫中的數(shù)據(jù)，審計人員可以提供關(guān)于數(shù)據(jù)保護(hù)和管理控制的重要證據(jù)。

10、通過測試演練持續(xù)改進(jìn)

定期對數(shù)據(jù)保護(hù)計劃活動進(jìn)行測試和演練，如數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)訪問管理以及網(wǎng)絡(luò)安全防護(hù)活動，可以確保這些重要計劃的正常運行，并確保執(zhí)行這些計劃的員工了解其角色和責(zé)任。這些活動也是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)（BCDR）計劃的一部分，并為IT審計人員提供重要的證據(jù)。組織必須定期審查和持續(xù)改進(jìn)數(shù)據(jù)保護(hù)及其相關(guān)活動，以符合現(xiàn)有和新的法規(guī)、立法和良好實踐，并為用戶生成最高水平的信心，確保其敏感數(shù)據(jù)和敏感信息得到保護(hù)。

參考鏈接：https://www.techtarget.com/searchdatabackup/tip/20-keys-to-a-successful-enterprise-data-protection-strategy