數(shù)據(jù)風(fēng)險評估是我國《數(shù)據(jù)安全法》明確要求的內(nèi)容，我們知道在傳統(tǒng)的網(wǎng)絡(luò)安全活動基礎(chǔ)上，數(shù)據(jù)處理活動更加復(fù)雜多樣，包括生產(chǎn)、采集、提供、交易、交換、存儲、傳輸、加工、使用、共享、公開、銷毀等活動。重要數(shù)據(jù)的處理者應(yīng)對數(shù)據(jù)處理活動中數(shù)據(jù)的安全性及可能存在的風(fēng)險開展安全檢測、風(fēng)險評估，檢驗保護數(shù)據(jù)安全措施的有效性，及時發(fā)現(xiàn)問題隱患并整改。

國內(nèi)外，網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域，都看到數(shù)據(jù)風(fēng)險評估的重要性，但多少還是存在一定差異的。而國外以國外的法律體系為基礎(chǔ)，我們則以我們的法律體系為基礎(chǔ)。今天，我們看一下外國企業(yè)對數(shù)據(jù)風(fēng)險評估的一些看法。

許多組織都了解保護個人身份信息的重要性，但并非所有組織都知道如何正確執(zhí)行數(shù)據(jù)風(fēng)險評估。以下是保護組織中數(shù)據(jù)安全所需了解的信息。

存儲個人身份信息 (PII) 的組織對犯罪分子來說是一個有吸引力的目標。不幸的是，許多存儲?敏感數(shù)據(jù)的公司?沒有正確跟蹤敏感數(shù)據(jù)及其所在位置，從而導(dǎo)致可利用的漏洞，從而導(dǎo)致代價高昂的?數(shù)據(jù)泄露。

作為一項保護措施，組織應(yīng)定期執(zhí)行數(shù)據(jù)風(fēng)險評估，以審查和保護敏感信息。但什么是數(shù)據(jù)風(fēng)險評估以及執(zhí)行數(shù)據(jù)風(fēng)險評估的最佳方法是什么?

什么是數(shù)據(jù)風(fēng)險評估?

數(shù)據(jù)風(fēng)險評估是組織審查其控制下的敏感數(shù)據(jù)的過程。這包括整個組織 IT 生態(tài)系統(tǒng)(包括所有平臺、服務(wù)器位置和云環(huán)境)存儲、訪問和管理的所有數(shù)據(jù)。

什么構(gòu)成敏感數(shù)據(jù)?

在組織能夠正確保護其敏感數(shù)據(jù)之前，必須首先了解系統(tǒng)中包含的數(shù)據(jù)。這就是為什么正確的數(shù)據(jù)分類?對于數(shù)據(jù)安全至關(guān)重要。

在確定應(yīng)歸類為敏感的數(shù)據(jù)時，請記住：

• 整個組織使用的數(shù)據(jù)類型
• 數(shù)據(jù)可能存放的位置
• 數(shù)據(jù)對組織的總體價值
• 所在行業(yè)的監(jiān)管合規(guī)要求
• 訪問授權(quán)權(quán)限

不幸的是，許多組織依賴手動分類，如果分類指南發(fā)生變化而沒有對受影響的信息進行適當(dāng)更新，手動分類可能很快就會過時。更糟糕的是，90% 的組織數(shù)據(jù)大部分都是暗數(shù)據(jù)，這些數(shù)據(jù)要么已被捕獲但未使用，要么是公司不知道自己擁有的數(shù)據(jù)。

DRA 如何幫助保護組織

數(shù)據(jù)風(fēng)險評估可以揭示組織所擁有的敏感信息。此外，這種增強的可見性可以更好地洞察組織可能面臨的潛在風(fēng)險，包括惡意風(fēng)險和意外風(fēng)險。

有效的數(shù)據(jù)安全風(fēng)險評估計劃的幾個關(guān)鍵成果包括：

• 減少敏感信息的足跡。?這使得現(xiàn)有的數(shù)據(jù)安全計劃能夠更有效地發(fā)揮作用。
• 解決授權(quán)監(jiān)督問題。?數(shù)據(jù)風(fēng)險評估可以突出顯示對敏感信息訪問過多或過少的用戶。在前一種情況下，可以減少訪問以降低不當(dāng)訪問的風(fēng)險，而解決后者可以提高組織效率。
• 制定適當(dāng)?shù)陌踩胧?有效的風(fēng)險評估允許組織通過?實施數(shù)據(jù)保護計劃?或修復(fù)現(xiàn)有漏洞來解決安全缺陷。
• 降低運營成本。?通過更好地了解其控制下的數(shù)據(jù)，組織可以將資源集中在關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施上。適當(dāng)?shù)挠媱澾€可以?降低數(shù)據(jù)泄露時的成本。

數(shù)據(jù)風(fēng)險評估的組成部分

數(shù)據(jù)風(fēng)險評估可以分為三個不同的部分：發(fā)現(xiàn)、評估和行動。在許多情況下，每個步驟都是同時執(zhí)行的，特別是在處理敏感數(shù)據(jù)的場景中。

此外，應(yīng)定期進行風(fēng)險評估。盡管對于應(yīng)進行評估的頻率存在各種建議，但業(yè)務(wù)的性質(zhì)、所管理的數(shù)據(jù)以及先前評估的結(jié)果將決定企業(yè)應(yīng)多久進行一次安全評估。然而，應(yīng)該指出的是，在任何情況下，風(fēng)險都不是靜態(tài)的，評估的性質(zhì)和頻率應(yīng)該是組織內(nèi)持續(xù)討論的內(nèi)容。

發(fā)現(xiàn)組織數(shù)據(jù)并對其進行分類

如果沒有適當(dāng)?shù)?數(shù)據(jù)發(fā)現(xiàn)和分類?實踐，您的風(fēng)險評估將不是最佳的。您必須了解所有數(shù)據(jù)的存儲位置及其敏感級別，以確保根據(jù)內(nèi)部建立的框架對數(shù)據(jù)進行分類。還要記住您可能遇到的任何?監(jiān)管要求?。

確定分類級別時，請考慮以下變量：

• 保密：誰應(yīng)該訪問數(shù)據(jù)?
• 價值：數(shù)據(jù)對組織運營有多重要?如果數(shù)據(jù)被未經(jīng)授權(quán)的一方訪問、修改或破壞，組織可能會受到什么損害?
• 可用性：為了進行日常業(yè)務(wù)運營，數(shù)據(jù)必須有多容易獲得，過度限制的協(xié)議是否會阻礙運營?

雖然一些組織選擇手動處理這些分類任務(wù)，但這項工作通常不可持續(xù)或不可擴展，特別是在高度監(jiān)管的環(huán)境中。由于需要用戶輸入和執(zhí)行，分類速度緩慢、效率低下，并且無法適應(yīng)不斷變化的組織需求。因此，最好考慮采用自動化分類方法，以確保獲得最佳結(jié)果。

評估數(shù)據(jù)安全風(fēng)險

安全風(fēng)險可以有多種不同的形式。雖然勒索軟件、網(wǎng)絡(luò)釣魚攻擊或類似事件等直接攻擊是一種明顯且日益增長的威脅，但這些并不是數(shù)據(jù)泄露的唯一入口點。并非所有風(fēng)險都可以歸因于惡意意圖。通常，意外的疏忽也可能同樣危險。

數(shù)據(jù)的常見風(fēng)險包括：

• 密碼管理不善。 超過60%的違規(guī)行為可以追溯到易于確定或其他較弱的密碼。
• 第三方訪問。如果獲得訪問權(quán)限的外部各方未能制定適當(dāng)?shù)臄?shù)據(jù)安全措施，系統(tǒng)也可能受到損害。
• 無意訪問。如果沒有適當(dāng)?shù)膽{據(jù)，組織內(nèi)的員工或其他個人可能會有意或無意地訪問敏感信息。
• 端點設(shè)備丟失和被盜。保存在筆記本電腦、硬盤或其他未加密設(shè)備上的數(shù)據(jù)很容易落入壞人之手。

雖然此列表并不詳盡，但它代表了您的組織可能面臨的威脅的樣本。要確定組織內(nèi)的獨特風(fēng)險，您需要考慮整個領(lǐng)導(dǎo)團隊的觀點，而不僅僅是 IT 部門的觀點。通過引入更多觀點，您的組織將更好地準備應(yīng)對威脅。

采取行動降低風(fēng)險并預(yù)防威脅

如果組織未能解決評估過程中發(fā)現(xiàn)的風(fēng)險，那么在數(shù)據(jù)所在的位置找到數(shù)據(jù)并識別威脅就毫無意義。必須盡快解決數(shù)據(jù)面臨的威脅，以減少數(shù)據(jù)泄露和其他安全風(fēng)險的可能性。從基本端點安全到公司級別的全面策略更改，組織可能需要采取以下一些方法來應(yīng)對風(fēng)險：

• 實施備份和數(shù)據(jù)加密等保護措施，以更好地保護數(shù)據(jù)。
• 創(chuàng)建一種認識到數(shù)據(jù)安全重要性的公司文化。
• 制定全面的數(shù)據(jù)泄露響應(yīng)計劃，以減輕損失并改善響應(yīng)
• 通過強大的安全和隱私產(chǎn)品滿足數(shù)據(jù)安全需求。

如何主動滿足數(shù)據(jù)安全需求

準備數(shù)據(jù)安全風(fēng)險評估的最佳方法是使用適合組織的定制解決方案來保護敏感數(shù)據(jù)。

數(shù)據(jù)資產(chǎn)識別工具可以使組織能夠通過自動化、實時和持久的數(shù)據(jù)分類，采取前瞻性的數(shù)據(jù)安全方法。這一強大的基礎(chǔ)為開始數(shù)據(jù)安全風(fēng)險評估創(chuàng)造了理想的條件。

此外，治理套件還可以監(jiān)控數(shù)據(jù)并識別威脅，以確定敏感數(shù)據(jù)是否面臨風(fēng)險，并可以提供補救策略來解決組織內(nèi)的漏洞。該軟件還可以有效地滿足數(shù)據(jù)主體訪問請求(DSAR)，以確保遵守適用的法規(guī)。