安全動態(tài)

數(shù)據(jù)安全:什么是數(shù)據(jù)風(fēng)險評估?

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2024-01-08    瀏覽次數(shù):
 

數(shù)據(jù)風(fēng)險評估是我國《數(shù)據(jù)安全法》明確要求的內(nèi)容,我們知道在傳統(tǒng)的網(wǎng)絡(luò)安全活動基礎(chǔ)上,數(shù)據(jù)處理活動更加復(fù)雜多樣,包括生產(chǎn)、采集、提供、交易、交換、存儲、傳輸、加工、使用、共享、公開、銷毀等活動。重要數(shù)據(jù)的處理者應(yīng)對數(shù)據(jù)處理活動中數(shù)據(jù)的安全性及可能存在的風(fēng)險開展安全檢測、風(fēng)險評估,檢驗(yàn)保護(hù)數(shù)據(jù)安全措施的有效性,及時發(fā)現(xiàn)問題隱患并整改。

國內(nèi)外,網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域,都看到數(shù)據(jù)風(fēng)險評估的重要性,但多少還是存在一定差異的。而國外以國外的法律體系為基礎(chǔ),我們則以我們的法律體系為基礎(chǔ)。今天,我們看一下外國企業(yè)對數(shù)據(jù)風(fēng)險評估的一些看法。

許多組織都了解保護(hù)個人身份信息的重要性,但并非所有組織都知道如何正確執(zhí)行數(shù)據(jù)風(fēng)險評估。以下是保護(hù)組織中數(shù)據(jù)安全所需了解的信息。

存儲個人身份信息 (PII) 的組織對犯罪分子來說是一個有吸引力的目標(biāo)。不幸的是,許多存儲?敏感數(shù)據(jù)的公司?沒有正確跟蹤敏感數(shù)據(jù)及其所在位置,從而導(dǎo)致可利用的漏洞,從而導(dǎo)致代價高昂的?數(shù)據(jù)泄露。

作為一項(xiàng)保護(hù)措施,組織應(yīng)定期執(zhí)行數(shù)據(jù)風(fēng)險評估,以審查和保護(hù)敏感信息。但什么是數(shù)據(jù)風(fēng)險評估以及執(zhí)行數(shù)據(jù)風(fēng)險評估的最佳方法是什么?

什么是數(shù)據(jù)風(fēng)險評估?

數(shù)據(jù)風(fēng)險評估是組織審查其控制下的敏感數(shù)據(jù)的過程。這包括整個組織 IT 生態(tài)系統(tǒng)(包括所有平臺、服務(wù)器位置和云環(huán)境)存儲、訪問和管理的所有數(shù)據(jù)。

什么構(gòu)成敏感數(shù)據(jù)?

在組織能夠正確保護(hù)其敏感數(shù)據(jù)之前,必須首先了解系統(tǒng)中包含的數(shù)據(jù)。這就是為什么正確的數(shù)據(jù)分類?對于數(shù)據(jù)安全至關(guān)重要。

在確定應(yīng)歸類為敏感的數(shù)據(jù)時,請記?。?

  • 整個組織使用的數(shù)據(jù)類型
  • 數(shù)據(jù)可能存放的位置
  • 數(shù)據(jù)對組織的總體價值
  • 所在行業(yè)的監(jiān)管合規(guī)要求
  • 訪問授權(quán)權(quán)限

不幸的是,許多組織依賴手動分類,如果分類指南發(fā)生變化而沒有對受影響的信息進(jìn)行適當(dāng)更新,手動分類可能很快就會過時。更糟糕的是,90% 的組織數(shù)據(jù)大部分都是暗數(shù)據(jù),這些數(shù)據(jù)要么已被捕獲但未使用,要么是公司不知道自己擁有的數(shù)據(jù)。

DRA 如何幫助保護(hù)組織

數(shù)據(jù)風(fēng)險評估可以揭示組織所擁有的敏感信息。此外,這種增強(qiáng)的可見性可以更好地洞察組織可能面臨的潛在風(fēng)險,包括惡意風(fēng)險和意外風(fēng)險。

有效的數(shù)據(jù)安全風(fēng)險評估計劃的幾個關(guān)鍵成果包括:

  • 減少敏感信息的足跡。?這使得現(xiàn)有的數(shù)據(jù)安全計劃能夠更有效地發(fā)揮作用。
  • 解決授權(quán)監(jiān)督問題。?數(shù)據(jù)風(fēng)險評估可以突出顯示對敏感信息訪問過多或過少的用戶。在前一種情況下,可以減少訪問以降低不當(dāng)訪問的風(fēng)險,而解決后者可以提高組織效率。
  • 制定適當(dāng)?shù)陌踩胧?有效的風(fēng)險評估允許組織通過?實(shí)施數(shù)據(jù)保護(hù)計劃?或修復(fù)現(xiàn)有漏洞來解決安全缺陷。
  • 降低運(yùn)營成本。?通過更好地了解其控制下的數(shù)據(jù),組織可以將資源集中在關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施上。適當(dāng)?shù)挠媱澾€可以?降低數(shù)據(jù)泄露時的成本。

數(shù)據(jù)風(fēng)險評估的組成部分

數(shù)據(jù)風(fēng)險評估可以分為三個不同的部分:發(fā)現(xiàn)、評估和行動。在許多情況下,每個步驟都是同時執(zhí)行的,特別是在處理敏感數(shù)據(jù)的場景中。

此外,應(yīng)定期進(jìn)行風(fēng)險評估。盡管對于應(yīng)進(jìn)行評估的頻率存在各種建議,但業(yè)務(wù)的性質(zhì)、所管理的數(shù)據(jù)以及先前評估的結(jié)果將決定企業(yè)應(yīng)多久進(jìn)行一次安全評估。然而,應(yīng)該指出的是,在任何情況下,風(fēng)險都不是靜態(tài)的,評估的性質(zhì)和頻率應(yīng)該是組織內(nèi)持續(xù)討論的內(nèi)容。

發(fā)現(xiàn)組織數(shù)據(jù)并對其進(jìn)行分類

如果沒有適當(dāng)?shù)?數(shù)據(jù)發(fā)現(xiàn)和分類?實(shí)踐,您的風(fēng)險評估將不是最佳的。您必須了解所有數(shù)據(jù)的存儲位置及其敏感級別,以確保根據(jù)內(nèi)部建立的框架對數(shù)據(jù)進(jìn)行分類。還要記住您可能遇到的任何?監(jiān)管要求?。

確定分類級別時,請考慮以下變量:

  • 保密:誰應(yīng)該訪問數(shù)據(jù)?
  • 價值:數(shù)據(jù)對組織運(yùn)營有多重要?如果數(shù)據(jù)被未經(jīng)授權(quán)的一方訪問、修改或破壞,組織可能會受到什么損害?
  • 可用性:為了進(jìn)行日常業(yè)務(wù)運(yùn)營,數(shù)據(jù)必須有多容易獲得,過度限制的協(xié)議是否會阻礙運(yùn)營?

雖然一些組織選擇手動處理這些分類任務(wù),但這項(xiàng)工作通常不可持續(xù)或不可擴(kuò)展,特別是在高度監(jiān)管的環(huán)境中。由于需要用戶輸入和執(zhí)行,分類速度緩慢、效率低下,并且無法適應(yīng)不斷變化的組織需求。因此,最好考慮采用自動化分類方法,以確保獲得最佳結(jié)果。

評估數(shù)據(jù)安全風(fēng)險

安全風(fēng)險可以有多種不同的形式。雖然勒索軟件、網(wǎng)絡(luò)釣魚攻擊或類似事件等直接攻擊是一種明顯且日益增長的威脅,但這些并不是數(shù)據(jù)泄露的唯一入口點(diǎn)。并非所有風(fēng)險都可以歸因于惡意意圖。通常,意外的疏忽也可能同樣危險。

數(shù)據(jù)的常見風(fēng)險包括:

  • 密碼管理不善。 超過60%的違規(guī)行為可以追溯到易于確定或其他較弱的密碼。
  • 第三方訪問。如果獲得訪問權(quán)限的外部各方未能制定適當(dāng)?shù)臄?shù)據(jù)安全措施,系統(tǒng)也可能受到損害。
  • 無意訪問。如果沒有適當(dāng)?shù)膽{據(jù),組織內(nèi)的員工或其他個人可能會有意或無意地訪問敏感信息。
  • 端點(diǎn)設(shè)備丟失和被盜。保存在筆記本電腦、硬盤或其他未加密設(shè)備上的數(shù)據(jù)很容易落入壞人之手。

雖然此列表并不詳盡,但它代表了您的組織可能面臨的威脅的樣本。要確定組織內(nèi)的獨(dú)特風(fēng)險,您需要考慮整個領(lǐng)導(dǎo)團(tuán)隊(duì)的觀點(diǎn),而不僅僅是 IT 部門的觀點(diǎn)。通過引入更多觀點(diǎn),您的組織將更好地準(zhǔn)備應(yīng)對威脅。

采取行動降低風(fēng)險并預(yù)防威脅

如果組織未能解決評估過程中發(fā)現(xiàn)的風(fēng)險,那么在數(shù)據(jù)所在的位置找到數(shù)據(jù)并識別威脅就毫無意義。必須盡快解決數(shù)據(jù)面臨的威脅,以減少數(shù)據(jù)泄露和其他安全風(fēng)險的可能性。從基本端點(diǎn)安全到公司級別的全面策略更改,組織可能需要采取以下一些方法來應(yīng)對風(fēng)險:

  • 實(shí)施備份和數(shù)據(jù)加密等保護(hù)措施,以更好地保護(hù)數(shù)據(jù)。
  • 創(chuàng)建一種認(rèn)識到數(shù)據(jù)安全重要性的公司文化。
  • 制定全面的數(shù)據(jù)泄露響應(yīng)計劃,以減輕損失并改善響應(yīng)
  • 通過強(qiáng)大的安全和隱私產(chǎn)品滿足數(shù)據(jù)安全需求。

如何主動滿足數(shù)據(jù)安全需求

準(zhǔn)備數(shù)據(jù)安全風(fēng)險評估的最佳方法是使用適合組織的定制解決方案來保護(hù)敏感數(shù)據(jù)。

數(shù)據(jù)資產(chǎn)識別工具可以使組織能夠通過自動化、實(shí)時和持久的數(shù)據(jù)分類,采取前瞻性的數(shù)據(jù)安全方法。這一強(qiáng)大的基礎(chǔ)為開始數(shù)據(jù)安全風(fēng)險評估創(chuàng)造了理想的條件。

此外,治理套件還可以監(jiān)控數(shù)據(jù)并識別威脅,以確定敏感數(shù)據(jù)是否面臨風(fēng)險,并可以提供補(bǔ)救策略來解決組織內(nèi)的漏洞。該軟件還可以有效地滿足數(shù)據(jù)主體訪問請求(DSAR),以確保遵守適用的法規(guī)。

 
 

上一篇:國家標(biāo)準(zhǔn)GB/T 43557-2023《信息安全技術(shù) 網(wǎng)絡(luò)安全信息報送指南》發(fā)布

下一篇:2024年1月8日聚銘安全速遞