监管规则只是在信息被泄露的时候才会起作用，这对于公司来说是个好消息。为什么这样说呢？因为如果你用通用的措施来保护数据，你就可以减少数据泄露的可能性，从而减少因为规则遵从问题而被审计的可能性。

　　所有公司遵守下面的这些规则都可以改进其安全性：
 
　　减少或者排除不必要的法律责任。在数据保护方面，企业应该首先考虑的是删除业务不再需要的数据。这听起来可能有点奇怪，但是从另一角度看，许多公司这样做就能避免对数据进行监管。举个例子，网上的商家可以只存储信用卡购物的交易ID，从而避免长期存储重要的账户数据。医疗保健公司通过使用一些监管规则没有涉及到的标志符，可以避免存储病人的社会安全号码（Social Security number）。

　　在整个企业范围来，可以对这类敏感数据进行不同程度的删减。这并不意味着你要删除遵从规则涉及到的所有东西，但至少可以在某些方面减少对敏感数据的使用。这样，在进行下一步“减少数据保护范围”的时候，事情将会变得更简单一些。

　　减少数据保护的范围。PCI DSS其中的一个关键要求以及数据保护的一个基本规则是：把受保护的数据限制在一个较小的、精确定义了的范围之内。这种做法不仅让规则遵从变得简单（因为减少了需要执行控制的范围），而且还方便了访问控制、数据移动监控、接触延迟、测试以及安全实际工作中的其他方面。

　　这一方法的指导思想是：把数据集中在尽可能少的系统以及尽可能小的网络环境中。一旦数据被集中起来，你就可以把对数据的访问限制在特定的用户组和应用程序上。如果可能的话，你应该提供某种机制，当数据驻留在这些集中化的系统上时，能够对数据进行操作。换句话说，你需要避免对数据进行复制或者移动操作。像数据泄露防护软件这样的工具能够监控和限制数据的移动，从而让你的安全控制更加有效。为了进一步约束网络环境，请使用可以把连接限制在特殊地址或者地区范围内的防火墙。最后，请监视所有的数据访问和数据移动（甚至需要在本环境内进行）。这样做可以确保只有经过授权的人才能接触到数据，而且还有助于符合监管要求。

　　只共享你必须要共享的数据。现在，很少有公司进行独立的商业运作，绝大多数都会通过各种不同的方式与其他的服务提供商开展合作。不幸的是，与合作厂商共享数据会让数据保护变得复杂起来，因为协作会增加额外的规则遵从。举个例子，美国马萨诸塞州的PCI DSS以及医疗电子交换法案等规则，都要求企业需要对自己的合作伙伴在共享数据的安全事务方面进行评估。这个过程可能会非常的昂贵，所以最好避免这项工作。借用我们先前讨论中的一个想法：如果可能的话，请避免与别人共享数据。

　　在跟合作伙伴共享敏感信息之前，比较谨慎的做法是对需要共享的信息进行分析，然后用其他类型的标识符进行替换。比如，用你能够映射到实际数据的符号或者ID去代替真正的账号，用类似的伪装数据代替帐户ID等。

　　就算你不能排除所有的敏感信息，你也能够通过移除不必要的数据以及把数据映射到其他方面来减少数据泄露的可能性。如果经过分析，你还是需要共享伪装数据和映射数据，那么请最好了解一下合作伙伴对这些数据的重视程度。

　　了解你的合作伙伴。正如我们前面讨论的那样，所有最新的规则都要求你对委托处理数据保护的企业进行评估。幸运的是，对于处理支付卡数据的企业来说，已经有PCI DSS规定了企业必须遵守的标准和一系列的评估程序，而其他的监管规则目前还没有这么明确的规定。

　　有的企业已在自己开展评估工作了，有的企业则雇佣顾问，还有的企业是让第三方机构来做评估和审计。不管是自己做评估，还是请第三方来评估，你都应该确保这些评估工作满足以下的要求：

1.按照你的规则遵从要求执行
2.在影响到你数据的工作和环境框架内进行
3.每年进行一次

　　如果你关心的是对机密身份数据进行保护，那么遵守这些规则可以让你不必接受关于可用性和操作的SAS 70审计。

　　对你的员工进行培训。虽然数据共享会带来威胁，但是数据泄露最常见的原因却是人为的过失。监管规则要求你确保员工能够意识到他们在信息保护方面的责任。这意味着他们需要理解安全政策、使用复杂的密码、保护设定的密码，以及避免通过不安全的复制、传输或者存储导致数据泄露。

　　保护你的便携式设备。马萨诸塞州的监管规则首次针对“便携式设备”进行监管。然而，不管你的公司是否需要遵守201 CMR 17.00，你都应该采取措施来保护存储在容易丢失或者被偷窃的设备或者媒介上的数据。这意味着你需要保护笔记本电脑、U盘、移动硬盘以及所有能够移动的存储媒介（包括备份磁带。）

　　对任何一个领域提供详细的指导意见都需要很长的篇幅。本章因篇幅限制，所以不能说的太详细。但是，以下列出的一些经验值得企业借鉴：

1. 书面写出政策，明确地规定哪些类型的数据能够存储在可移动设备或者便携系统上，而哪些不可以。

2. 指定存储敏感数据的具体设备（对U盘、移动硬盘等进行标记）

3. 在所有的笔记本电脑和有关的移动存储媒介上采用文件加密系统。

4. 跟踪敏感数据的存储媒介。

5. 开发一种媒介处理程序，确保不再使用的存储设备不会落入坏人之手。

6. 对用来备份的设备进行加密处理，或者进行非常严格的控制。

　　对数据保护的监管规则和相关合同的遵守，已经从金融和医疗保健机构扩展到所有的公司。然而，这些新的要求不应该引起企业的恐慌。理解数据泄露的风险、需要承担的责任，以及采取谨慎的措施来规避这些风险，对于企业来说应该提上日程了。通过遵守一些很直观的规则（比如本文所列出的这些），一个企业就可以在很大程度上减少数据泄露所带来的风险，而且还遵守了目前和将来的监管规则。