你知道你公司的敏感数据在哪吗，你觉得你的员工对它关注吗？下面是一个真实的故事，可能会引发你重新考虑你的数据销毁政策。

　　起初，事情很简单：我要给我的家庭办公室购买一些新的文件柜。我走到一个二手办公用具店，店员把我带到后仓，那里至少有200个文件柜。我打开几个抽屉，本来是想测试它们的坚固度，但是让我很吃惊的是，我看到了缩微胶片和光盘，很明显里面包含有公司的帐单和客户记录。

　　我作为一个CISSP，刚刚对我以前工作的公司进行了主要的数据清理工作，我感到非常震惊。这是怎么发生的呢？为什么公司不能确保完全清除旧的办公家具中公司或客户端的数据呢？

　　幸运的是，我发现数据的公司，有我认识的人在那里工作。我一回到家，就联系那个人。几天后，告诉该公司的一名员工我发现数据的地方。我们用两个文件箱装回了记录有公司帐单和客户记录的缩微胶片和光盘。

　　如果有人发现这些数据，并且不怀好意的话，会造成什么后果呢？他或她可能会试图勒索该公司甚至把它报告给当地报社。在这两种情况下，名誉上的损失是很严重的，更有可能丢失客户，不论是已有的还是新的。这样的数据破坏还可以导致违反以下联邦和州法规：

• HIPAA（健康保险流通与责任法案）
• GLBA（Gramm-Leach-Bliley法案）
• FISMA（联邦信息安全管理法案）
• FACTA（公平准确信用交易法）
• OMB Memo（M06-16）

　　不用说：名誉损失和潜在的数据破坏罚款就会花费公司很多钱。这比一个良好的数据销毁政策和程序所需费用要多得多。除了培养员工意识，训练他们有关数据正确销毁的知识之外，企业还需要投资数据销毁容器或这种类型的服务，并且保证所有即将移除的设备最后都要由办公室经理进行强制性检查，以确保没有数据遗留在旧的文件柜中。

　　要开始为您的公司创建一个数据销毁政策和程序，首先，要确定你公司的数据类型和数据存储位置。您的数据保留政策可以帮助你实现，它会显示物理和电子数据存储的位置和时间。在遇到数据保留政策中的过期标准时，数据销毁政策需要解决如何除掉数据的问题。你可能会聘用法律团队来调查数据的法律问题，这可能是一个好时机，你可以与他们讨论报告数据破坏的过程。

　　互联网上有许多关于政策的例子。NIST Special Publication 800-88是数据销毁政策很好的资源。

　　培养员工数据销毁政策意识，可以通过一些安全意识项目来进行。培训员工如何处理旧的物理数据，如果他们不能确定，直接向管理员询问。首先，培训员工定期处理物理数据是一个很好的方法。并且员工要能很容易的访问公司安全政策（无论是在公司内网还是在一个快速参考手册上）。我建议强化年度审查和员工签订政策。另外，将培养安全和政策意识，作为员工年度目标的一部分。