【TechTarget中国原创】公司和其他企业都开始理解已经存在和即将来临的数据泄露、隐私和安全规则的含义了。所以安全专家发起了越来越多的技术性项目,完成数据保护的职责。
这些数据保护的执行有很多形式。一些攻击可能使用e-discovery/或纪录管理项目。其他的可能需要满足PCI数据安全标准(Payment Card Industry (PCI) Data Security Standard)的要求或者需要保护用户专有网络信息(customer proprietary network information,CPNI)等电信信息。不同行业中的特别事业的法律法规也不相同,相同的部分是他们都关注数据的保护和恰当的处理。
无论数据和PCI DSS、CPNI、HIPAA或其他类型的数据类型或法规相关,在早期都需要回答两个基本问题:
- 数据存在哪里?
- 数据如何使用?
当解决法律法规以及国际数据保护标准和用户/商务伙伴的合同时,回答这些问题可以帮助公司弥补他们目前的状态和他们想要的状态之间的缝隙。理解“数据存在哪里”和“数据如何使用”可以帮助企业基本地理解哪里的控制不能生效或者甚至不存在。回答这些关键问题可能可以检测到企业数据泄漏、非授权的访问和处理以及不遵守法律法规和合同义务的问题。
商业过程分析
为回答这些问题,考虑企业中的一下几个数据,并检查在商务过程中数据的存在情况.
需要采用命令管理程序,例如在任何面向消费者的公司。使用采访的问卷调查可以对商务过程的持有者询问更详细的、顺序管理周期的潜过程的问题,例如用户资料的创建和维护。
调查客户资料的过程反映了服务捕获的详细的客户数据。获得一些个人信息包括姓名、家庭住址和电子邮件地址。在详细过程的对话之后,可以创建商业过程图表存储谈话结果。
从可识别的用户数据元素中,可能调查到命令信息是如何被捕获的。还是前面的例子,和用户服务代表的谈话可能反映出他们捕获了购买行为信息,作为他们的命令管理程序的一部分。在这种活动中,架构数据,例如用户的出生日期和非架构数据,例如用户详细购买的原因都添加到了用户资料中。总的来说,这些特殊的数据,可能会提高个人可识别信息(personally identifiable information ,PII)的等级,这取决于合法指导方针。在图表位置就是数据被捕获和存储的地点。
基础架构分析
“数据在哪里”这样的问题还可以通过检查和存储基础架构的各种数据元素,包括资料存储、桌面电脑和数据库等回答。假设领域内的数据元素——例如姓名、地址和社保号码——被识别到了,有两种决定在企业内部存储位置的方法。
第一,采访基础架构的持有者和股东,例如数据库管理员、系统管理员和网络管理人员。这些问答应该反映存储数据元素的数据库和系统,证明信息是如何从一个系统/数据库移动到另一个的,并解释存在什么技术识别和访问管理机制可以保护这些数据元素。和商务过程分析雷西,创建一个数据流表格来存储访问信息。
第二种方法,也是越来越受欢迎的方法要求自动的“数据发现”技术。这些工具扫描网络数据库、文件共享或桌面电脑,寻找用户指定的详细的数据元素。一些产品甚至建立的网络地图,表示数据元素的各个位置。
总结
回答上面提出的这些问题将会寸金企业数据保护策略和程序的开发。了解数据位置和它的处理方式可以允许企业鉴别他们遵守法律法规和/或要求快速战术性回应的合同职责的程度。