如何保护企业内部数据信息安全?

企业的信息安全工作一般都会涉及大量的部门,例如运维、开发、业务、市场等,需要跨部门协作才能弥补企业内部已存在的漏洞。缺乏专项负责的组织保障,往往会导致大量的安全维护工作难以高效率的运转,修复漏洞的流程周期被拖延,任务项被遗忘。

随着信息技术的快速发展和各种网络技术的广泛应用,企业越来越多的依赖于数据来支撑自己业务生产的正常运转。因信息技术发展产生的海量数据,作为企业核心的资产载体,也正是企业核心竞争力的体现。

根据中国互联网络信息中心(CNNIC)2018年发布报告显示,截至2018年12月,中国网民规模达8.29亿,全年新增网民5653万,互联网普及率为59.6%,较2017年底提升3.8个百分点。

享受大数据带来红利的同时,个人或企业的数据安全问题也频频出现。

根据Risk Based Security发布的数据泄露报告称,与2018年同期相比,2019年上半年数据泄露事件发生的数量和泄漏的数据量均增加了50%以上。在被泄露的41亿条数据中,有32亿的数据泄露归咎于8起泄露事件。

报告称医疗保健行业的数据泄露事件次数为224次,零售业199次,金融和保险领域183次,政府和信息处理部门各160次,教育行业99次。70%的事件都泄露了电子邮件地址,64%的事件泄露了用户密码,23%的泄漏事件中包含姓名,11%的泄露事件包含社会安全号码,泄露信用卡号码的事件也占比11%。

其中,最著名的就是同年发生的脸书超5000万条的数据泄露事件。企业的核心用户数据被非法获取,交易以及利用,对企业的形象以及用户的个人财产都产生了无法估量的破坏。

那么,企业应当如何对至关重要的信息安全进行保护呢?

01、建立专项负责的组织保障

企业的信息安全工作一般都会涉及大量的部门,例如运维、开发、业务、市场等,需要跨部门协作才能弥补企业内部已存在的漏洞。缺乏专项负责的组织保障,往往会导致大量的安全维护工作难以高效率的运转,修复漏洞的流程周期被拖延,任务项被遗忘。

企业的安全人才也是重中之重。企业的信息安全工作需要专业的安全人才去落实。市场上对信息安全人才的渴求程度早已超乎想象,且信息安全人才一般也无法即插即用,原因在于他需要耗费大量时间了解企业内部系统运行数据的流转。因此,成立专项负责信息安全、建设信息安全的人才梯队,使企业内部信息安全管理能够长久有效地运转。

02、企业内部数据的安全分级

一般数据的分级分类原则有两种。一种是根据数据的来源以及数据的流向/用途进行分级,另一种则是根据数据的内容,其包含的价值以及敏感程度进行分类分级。

举个简单的例子,一个企业可以把其内部的数据分为三级,不涉密数据;涉密数据以及核心数据。

一级:不涉密数据,即可对外部公开的数据,数据来源有可能是通过外部采购而来。

二级:涉密数据:企业内部需要传输,交换以及共享的数据。数据的使用需要通过一系列的审批,流转范围仅在企业内部,且必须进行数据脱敏,并符合企业的信息安全要求。

三级:核心数据:企业内部的核心商业数据,此类数据一般服务与企业层级较高的部门,支撑某些重大的决策。此类数据需慎重处理,需符合企业的特殊安全要求。

企业针对不同的数据等级,合理安排资源,制定特定的安全策略,把信息安全的重点放在数据本身。

03、数据的生命周期管理

数据安全面临的问题主要包括数据被破坏、非法访问、复制和使用、数据泄露等。根据数据所处产生、存储、流转、应用、运维的生命周期阶段,制定相应阶段的数据安全保护策略,确保数据在使用过程中不被非法访问、复制、使用、泄露或破坏。

拿其中的数据存储举例,首先需确认数据的存储格式,是否拥有备份。此外需要制定相关的信息安全法规以及流程,确保数据不会被无关员工访问。例如设置访问权限,使有需权限的员工才能够访问,同时设置数据管理人员,仅有管理人员才能设置权限且有权限对数据进行访问外的操作。

数据安全是一个庞大的课题,其中涉及的领域方方面面,企业必须重视内部数据及信息安全,提前制定数据安全的规划工作,才能有效做到数据安全防护,以免造成损失。

本文来自信息化观察者网,转载请注明出处。

 

扫码加入本站知识星球小密圈,获取1万+行业最新精选报告。

注:本站文章除标明原创外,均来自网友投稿及分享,如有侵权请联系dongxizhiku@163.com删除。

         

发表评论