數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估是我國(guó)《數(shù)據(jù)安全法》明確要求的內(nèi)容，我們知道在傳統(tǒng)的網(wǎng)絡(luò)安全活動(dòng)基礎(chǔ)上，數(shù)據(jù)處理活動(dòng)更加復(fù)雜多樣，包括生產(chǎn)、采集、提供、交易、交換、存儲(chǔ)、傳輸、加工、使用、共享、公開(kāi)、銷毀等活動(dòng)。重要數(shù)據(jù)的處理者應(yīng)對(duì)數(shù)據(jù)處理活動(dòng)中數(shù)據(jù)的安全性及可能存在的風(fēng)險(xiǎn)開(kāi)展安全檢測(cè)、風(fēng)險(xiǎn)評(píng)估，檢驗(yàn)保護(hù)數(shù)據(jù)安全措施的有效性，及時(shí)發(fā)現(xiàn)問(wèn)題隱患并整改。

國(guó)內(nèi)外，網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域，都看到數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估的重要性，但多少還是存在一定差異的。而國(guó)外以國(guó)外的法律體系為基礎(chǔ)，我們則以我們的法律體系為基礎(chǔ)。今天，我們看一下外國(guó)企業(yè)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估的一些看法。

許多組織都了解保護(hù)個(gè)人身份信息的重要性，但并非所有組織都知道如何正確執(zhí)行數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估。以下是保護(hù)組織中數(shù)據(jù)安全所需了解的信息。

存儲(chǔ)個(gè)人身份信息 (PII) 的組織對(duì)犯罪分子來(lái)說(shuō)是一個(gè)有吸引力的目標(biāo)。不幸的是，許多存儲(chǔ)?敏感數(shù)據(jù)的公司?沒(méi)有正確跟蹤敏感數(shù)據(jù)及其所在位置，從而導(dǎo)致可利用的漏洞，從而導(dǎo)致代價(jià)高昂的?數(shù)據(jù)泄露。

作為一項(xiàng)保護(hù)措施，組織應(yīng)定期執(zhí)行數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，以審查和保護(hù)敏感信息。但什么是數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估以及執(zhí)行數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估的最佳方法是什么?

什么是數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估?

數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估是組織審查其控制下的敏感數(shù)據(jù)的過(guò)程。這包括整個(gè)組織 IT 生態(tài)系統(tǒng)(包括所有平臺(tái)、服務(wù)器位置和云環(huán)境)存儲(chǔ)、訪問(wèn)和管理的所有數(shù)據(jù)。

什么構(gòu)成敏感數(shù)據(jù)?

在組織能夠正確保護(hù)其敏感數(shù)據(jù)之前，必須首先了解系統(tǒng)中包含的數(shù)據(jù)。這就是為什么正確的數(shù)據(jù)分類?對(duì)于數(shù)據(jù)安全至關(guān)重要。

在確定應(yīng)歸類為敏感的數(shù)據(jù)時(shí)，請(qǐng)記?。?

• 整個(gè)組織使用的數(shù)據(jù)類型
• 數(shù)據(jù)可能存放的位置
• 數(shù)據(jù)對(duì)組織的總體價(jià)值
• 所在行業(yè)的監(jiān)管合規(guī)要求
• 訪問(wèn)授權(quán)權(quán)限

不幸的是，許多組織依賴手動(dòng)分類，如果分類指南發(fā)生變化而沒(méi)有對(duì)受影響的信息進(jìn)行適當(dāng)更新，手動(dòng)分類可能很快就會(huì)過(guò)時(shí)。更糟糕的是，90% 的組織數(shù)據(jù)大部分都是暗數(shù)據(jù)，這些數(shù)據(jù)要么已被捕獲但未使用，要么是公司不知道自己擁有的數(shù)據(jù)。

DRA 如何幫助保護(hù)組織

數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估可以揭示組織所擁有的敏感信息。此外，這種增強(qiáng)的可見(jiàn)性可以更好地洞察組織可能面臨的潛在風(fēng)險(xiǎn)，包括惡意風(fēng)險(xiǎn)和意外風(fēng)險(xiǎn)。

有效的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估計(jì)劃的幾個(gè)關(guān)鍵成果包括：

• 減少敏感信息的足跡。?這使得現(xiàn)有的數(shù)據(jù)安全計(jì)劃能夠更有效地發(fā)揮作用。
• 解決授權(quán)監(jiān)督問(wèn)題。?數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估可以突出顯示對(duì)敏感信息訪問(wèn)過(guò)多或過(guò)少的用戶。在前一種情況下，可以減少訪問(wèn)以降低不當(dāng)訪問(wèn)的風(fēng)險(xiǎn)，而解決后者可以提高組織效率。
• 制定適當(dāng)?shù)陌踩胧?有效的風(fēng)險(xiǎn)評(píng)估允許組織通過(guò)?實(shí)施數(shù)據(jù)保護(hù)計(jì)劃?或修復(fù)現(xiàn)有漏洞來(lái)解決安全缺陷。
• 降低運(yùn)營(yíng)成本。?通過(guò)更好地了解其控制下的數(shù)據(jù)，組織可以將資源集中在關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施上。適當(dāng)?shù)挠?jì)劃還可以?降低數(shù)據(jù)泄露時(shí)的成本。

數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估的組成部分

數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估可以分為三個(gè)不同的部分：發(fā)現(xiàn)、評(píng)估和行動(dòng)。在許多情況下，每個(gè)步驟都是同時(shí)執(zhí)行的，特別是在處理敏感數(shù)據(jù)的場(chǎng)景中。

此外，應(yīng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估。盡管對(duì)于應(yīng)進(jìn)行評(píng)估的頻率存在各種建議，但業(yè)務(wù)的性質(zhì)、所管理的數(shù)據(jù)以及先前評(píng)估的結(jié)果將決定企業(yè)應(yīng)多久進(jìn)行一次安全評(píng)估。然而，應(yīng)該指出的是，在任何情況下，風(fēng)險(xiǎn)都不是靜態(tài)的，評(píng)估的性質(zhì)和頻率應(yīng)該是組織內(nèi)持續(xù)討論的內(nèi)容。

發(fā)現(xiàn)組織數(shù)據(jù)并對(duì)其進(jìn)行分類

如果沒(méi)有適當(dāng)?shù)?數(shù)據(jù)發(fā)現(xiàn)和分類?實(shí)踐，您的風(fēng)險(xiǎn)評(píng)估將不是最佳的。您必須了解所有數(shù)據(jù)的存儲(chǔ)位置及其敏感級(jí)別，以確保根據(jù)內(nèi)部建立的框架對(duì)數(shù)據(jù)進(jìn)行分類。還要記住您可能遇到的任何?監(jiān)管要求?。

確定分類級(jí)別時(shí)，請(qǐng)考慮以下變量：

• 保密：誰(shuí)應(yīng)該訪問(wèn)數(shù)據(jù)?
• 價(jià)值：數(shù)據(jù)對(duì)組織運(yùn)營(yíng)有多重要?如果數(shù)據(jù)被未經(jīng)授權(quán)的一方訪問(wèn)、修改或破壞，組織可能會(huì)受到什么損害?
• 可用性：為了進(jìn)行日常業(yè)務(wù)運(yùn)營(yíng)，數(shù)據(jù)必須有多容易獲得，過(guò)度限制的協(xié)議是否會(huì)阻礙運(yùn)營(yíng)?

雖然一些組織選擇手動(dòng)處理這些分類任務(wù)，但這項(xiàng)工作通常不可持續(xù)或不可擴(kuò)展，特別是在高度監(jiān)管的環(huán)境中。由于需要用戶輸入和執(zhí)行，分類速度緩慢、效率低下，并且無(wú)法適應(yīng)不斷變化的組織需求。因此，最好考慮采用自動(dòng)化分類方法，以確保獲得最佳結(jié)果。

評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)

安全風(fēng)險(xiǎn)可以有多種不同的形式。雖然勒索軟件、網(wǎng)絡(luò)釣魚(yú)攻擊或類似事件等直接攻擊是一種明顯且日益增長(zhǎng)的威脅，但這些并不是數(shù)據(jù)泄露的唯一入口點(diǎn)。并非所有風(fēng)險(xiǎn)都可以歸因于惡意意圖。通常，意外的疏忽也可能同樣危險(xiǎn)。

數(shù)據(jù)的常見(jiàn)風(fēng)險(xiǎn)包括：

• 密碼管理不善。 超過(guò)60%的違規(guī)行為可以追溯到易于確定或其他較弱的密碼。
• 第三方訪問(wèn)。如果獲得訪問(wèn)權(quán)限的外部各方未能制定適當(dāng)?shù)臄?shù)據(jù)安全措施，系統(tǒng)也可能受到損害。
• 無(wú)意訪問(wèn)。如果沒(méi)有適當(dāng)?shù)膽{據(jù)，組織內(nèi)的員工或其他個(gè)人可能會(huì)有意或無(wú)意地訪問(wèn)敏感信息。
• 端點(diǎn)設(shè)備丟失和被盜。保存在筆記本電腦、硬盤或其他未加密設(shè)備上的數(shù)據(jù)很容易落入壞人之手。

雖然此列表并不詳盡，但它代表了您的組織可能面臨的威脅的樣本。要確定組織內(nèi)的獨(dú)特風(fēng)險(xiǎn)，您需要考慮整個(gè)領(lǐng)導(dǎo)團(tuán)隊(duì)的觀點(diǎn)，而不僅僅是 IT 部門的觀點(diǎn)。通過(guò)引入更多觀點(diǎn)，您的組織將更好地準(zhǔn)備應(yīng)對(duì)威脅。

采取行動(dòng)降低風(fēng)險(xiǎn)并預(yù)防威脅

如果組織未能解決評(píng)估過(guò)程中發(fā)現(xiàn)的風(fēng)險(xiǎn)，那么在數(shù)據(jù)所在的位置找到數(shù)據(jù)并識(shí)別威脅就毫無(wú)意義。必須盡快解決數(shù)據(jù)面臨的威脅，以減少數(shù)據(jù)泄露和其他安全風(fēng)險(xiǎn)的可能性。從基本端點(diǎn)安全到公司級(jí)別的全面策略更改，組織可能需要采取以下一些方法來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)：

• 實(shí)施備份和數(shù)據(jù)加密等保護(hù)措施，以更好地保護(hù)數(shù)據(jù)。
• 創(chuàng)建一種認(rèn)識(shí)到數(shù)據(jù)安全重要性的公司文化。
• 制定全面的數(shù)據(jù)泄露響應(yīng)計(jì)劃，以減輕損失并改善響應(yīng)
• 通過(guò)強(qiáng)大的安全和隱私產(chǎn)品滿足數(shù)據(jù)安全需求。

如何主動(dòng)滿足數(shù)據(jù)安全需求

準(zhǔn)備數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的最佳方法是使用適合組織的定制解決方案來(lái)保護(hù)敏感數(shù)據(jù)。

數(shù)據(jù)資產(chǎn)識(shí)別工具可以使組織能夠通過(guò)自動(dòng)化、實(shí)時(shí)和持久的數(shù)據(jù)分類，采取前瞻性的數(shù)據(jù)安全方法。這一強(qiáng)大的基礎(chǔ)為開(kāi)始數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估創(chuàng)造了理想的條件。

此外，治理套件還可以監(jiān)控?cái)?shù)據(jù)并識(shí)別威脅，以確定敏感數(shù)據(jù)是否面臨風(fēng)險(xiǎn)，并可以提供補(bǔ)救策略來(lái)解決組織內(nèi)的漏洞。該軟件還可以有效地滿足數(shù)據(jù)主體訪問(wèn)請(qǐng)求(DSAR)，以確保遵守適用的法規(guī)。