敏感数据是当今大多数企业中最有价值的资产之一。这包括从个人记录到知识产权和其他专有信息的所有内容。每个企业都需要保护其敏感数据的安全和隐私,以避免数据泄露、知识产权盗窃和其他可能导致罚款、诉讼和业务失败的情况。什么是数据风险评估,为什么它很重要?数据风险评估是对企业如何保护其敏感数据以及可能需要进行哪些改进的审查。组织应定期执行数据风险评估,作为一种审计形式,可以帮助识别信息安全和隐私控制缺陷并降低风险。在发生数据泄露(无论是有意还是无意)之后,需要实施数据风险评估以改进控制并降低未来发生类似泄露的可能性。执行数据风险评估的5个步骤以下五个步骤可用于创建全面的数据风险评估。(1)存储敏感数据检查端点、云计算服务、存储介质和其他位置,以查找和记录敏感数据的所有实例。数据清单应包括可能影响风险要求的任何特征。例如,存储数据的地理位置会影响适用的法律法规。确定谁负责每个敏感数据实例,以便在必要时可以与他们进行交互。(2)为每个数据实例分配数据分类企业应该为所有敏感数据定义数据分类,例如“受保护的健康信息”和“个人身份信息”。这些定义应指出对于每种类型的敏感数据,哪些安全和隐私控制是强制性的和推荐的。即使数据已经有分类,也要定期重新检查。数据的性质会随着时间的推移而变化,并且可能会出现适用于相关数据的新分类。(3)确定评估哪些敏感数据的优先级企业可能拥有大量敏感数据,因此不可能在每个评估期间都审查所有数据。如有必要,需要优先处理最敏感的数据、要求最高的数据或尚未评估的最旧数据。(4)检查所有相关的安全和隐私控制以及审计控制,以保护敏感数据的使用、存储和传输。其常见的审计步骤包括:验证最小特权原则。验证只有必要的人类和非人类用户、服务、管理员和第三方(例如业务合作伙伴、承包商和供应商)才能访问敏感数据,并且他们只有一些必要的访问权限,例如只读,读写等。确保积极执行任何限制数据访问的政策。例如,企业可能会基于以下因素限制对某些敏感数据的访问:用户位置数据的位置、其他时间的位置、星期几、用户的设备类型,并确保所有其他必要的安全和隐私控制正在使用中。降低风险的常用工具包括:数据丢失防护软件防火墙加密多因素身份验证用户和实体行为分析。识别数据保留违规。确定是否有任何数据应被销毁以符合数据保留政策。(5)记录所有安全和隐私控制缺陷虽然识别安全和隐私缺陷在数据风险评估的范围内,但修复它们不在范围之内。评估包括以下内容是合理的:每个缺陷的相对优先级。解决每个缺陷的推荐行动方案。这些建议为提高数据安全性提供了路线图。风险矩阵可以帮助根据潜在后果的严重性和可能性来定位问题并确定问题的优先级。如何使用数据风险评估结果企业领导者应制定策略来减轻数据风险评估中发现的安全和隐私弱点,同时考虑补救建议并确定高风险问题的优先级。最终,数据风险评估的输出应该是企业风险管理和缓解计划的主要输入,有助于做出更明智的决策,从而有助于改善数据保护。
