成功的企业数据保护策略的20个关键

您组织的数据保护策略可能不包括所有20个组件,但重要的是要有一个全面的策略。

数据保护力求减少由于缺乏可验证的数据完整性和可用性而造成的业务损失。在开发数据保护策略时需要考虑的实践和技术是数据生命周期管理关键数据的自动移动线上线下存储;数据风险管理;数据丢失预防和数据备份与恢复;等等。

建立一个战略在任何情况下,过程的一部分都是确定战略的预期结果,然后确定实现目标所需的行动。在数据保护策略中,目标是保护数据不受任何内部或外部威胁风险的破坏或破坏。考虑到任何类型的数据对组织的重要性,一个深思熟虑的保护策略是整体的重要组成部分数据管理程序。

确定数据保护策略的必要组件是很重要的。以下是整体战略中需要考虑的20个要素。尽管可能没有启动所有组件(出于各种原因),但我们的目标是拥有对企业有意义的尽可能多的就位和可操作组件。

基本上,一旦创建了数据和信息,还必须进行一些活动。这包括主要存储和后备存储安排;选择要使用的存储类型和适当的存储基础设施;寻址访问管理以及相关的访问控制;建立数据安全措施和安全策略,以保护数据不受未经授权的访问和攻击。图1描述了形成数据保护策略的各种活动。

数据保护策略组件
图1所示。数据保护策略的组成部分包括数据风险管理、数据丢失预防和密码管理。

在下面的小节中,我们将简要地检查数据保护策略的每个组件。首先,确保高级管理层批准创建数据保护策略。第二,确保战略与公司执行的业务流程一致。请注意以下活动并不是按照重要性或喜好来排序的。

1.数据生命周期管理

建立数据生命周期为数据从创建到存储准备了一个框架归档到破坏.它通常被认为是数据保护策略的基本组成部分。

2.数据的风险管理

在制定数据保护策略的大多数方面时,识别和评估数据的风险和威胁是至关重要的,因为该策略的目标是最小化风险发生的可能性,并减轻对数据产生负面影响的事件的严重性。

3.预防数据丢失

这些活动通过诸如存储、归档和保护数据完整性等活动确保任何创建的数据不受潜在丢失或损坏的保护加密技术

4.数据备份和恢复

一旦创建了数据,除非不再需要它,否则必须将其备份到一个安全且受保护的位置以备将来使用。当需要数据时,恢复过程将数据从其安全存储/归档中释放出来,并验证数据是否可以使用。这些活动也是业务连续性和灾难恢复(BCDR)倡议的关键组成部分。

5.数据存取管理控制

数据保护策略中最重要的组成部分是安全访问和使用数据的过程。数据访问控制通常由审计人员检查如下IT审计的一部分

6.数据存储管理

此活动包括与将生产数据安全地移动到安全存储库相关的所有活动——例如,在云环境中的现场或场外——以供后续使用。在以后可能需要数据的情况下,存储管理将数据转移到存档设施中。

7.数据泄露的预防

这些活动防止通过网络安全攻击对数据的未授权访问或其他恶意事件,利用网络安全措施阻止外部访问和数据保护系统阻止未经授权的内部数据访问。

8.数据主权保护

对于处理来自其他国家数据的全球性组织来说,重要的是要有适当的措施来保护数据主权,使其不受内部或外部攻击的破坏。

9.信息生命周期管理

与数据生命周期管理一起的是对信息从创建到销毁的整个生命周期进行保护的过程。

10.机密性、完整性和可用性

这些是数据保护的基本属性,具体来说,数据安全.数据保护策略的组件实现了这些属性中的每一个。

11.网络安全管理

这些活动防止对网络边界、内部网络和动态和静止数据的未经授权的攻击。这些软件包括访问管理软件、周边安全软件和硬件、杀毒软件和勒索软件。

12.Ransomware保护

这些活动防止了以下情况数据和系统访问受到威胁由网络威胁行动者通过支付某种赎金,比如金钱支付,才能进入。这已经成为网络安全保护活动的一个关键组成部分。

13.密码管理

密码管理作为一种防止未经授权的访问的技术仍被广泛使用,作为访问认证中使用的一个因素,密码管理随着大量的使用而不断改进密码创建和管理工具

14.政策和程序

政策确定与数据保护活动相关的“是什么”,程序定义“如何”活动。两者在数据管理程序中都是必不可少的,通常作为审计过程的一部分进行检查。

15.标准和法规遵从性

良好的数据保护做法是建立在对如何保护数据的各种标准和法规的了解和使用之上的。其中最被广泛认可的是欧盟的《一般数据保护条例》。美国国家标准与技术研究所(National Institute for Standards and Technologies)等机构已经建立了许多类似的指标。

16.向管理层汇报

定期向高级管理人员通报数据保护计划的各个方面,确保高级领导充分了解组织的数据和信息是如何被保护和管理的。

17.测试和锻炼

定期测试和执行数据管理程序活动,例如:数据备份和恢复、数据访问管理和网络安全预防活动,确保这些重要程序的正确执行,并确保负责这些程序的员工了解自己的角色和责任。这些活动也是BCDR倡议的组成部分。

18.培训和意识

这些活动确保负责数据保护活动的人员了解自己的工作。他们还确保所有员工知道他们的数据是如何管理和保护的,并知道他们有责任确保数据的安全。

19.审计和评估

为了确保数据保护策略的执行和所有相关的数据管理程序的正常运行,必须定期检查它们,评估和审计.在确保符合相关标准和法规方面尤其如此。

20.监控和评估

一个组织良好的数据管理程序提供持续的监控数据创建、传输、存储、归档和销毁的各个方面。这些活动为审计人员检查数据保护和管理控制提供了必要的证据。

一旦制定了战略,它的开发和实施将基于公司的业务需求、可用的资金、人员和高级管理层对安全数据基础设施的承诺。

下一个步骤

研究指出,数据保护方面的IT技能短缺

深入挖掘远程数据保护

搜索灾难复苏
搜索存储
搜索聚合基础设施
搜索通道
关闭
Baidu