曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        每個組織都需要的關鍵數據安全控制
        發布時間:2021-01-12 10:22:04   閱讀次數:

        無論您經營哪種類型的業務,您擁有或將擁有某種形式的敏感信息的可能性都很大。也許您在線進行信用卡付款或以電子方式存儲患者記錄,并且必須遵守HIPAA安全和隱私規則。如果您與聯邦政府合作,則可能會處理政府想要保護的未分類信息。您可能還會有客戶清單,體系結構圖和其他您不想讓競爭對手獲得的工件。  


        如今,敏感數據可能要遵守許多安全和隱私法規,例如通用數據保護法規(GDPR)和加利福尼亞消費者保護法(CCPA),以及其他州或行業特定的法律。在當前的安全環境下,僅說您可以保護敏感的客戶信息就不會再減少它了。自我評估的日子已經一去不復返了-組織必須提供具體的證據,證明它們具有足夠的技術和管理控制措施來保護敏感的客戶信息并經過第三方認證流程,然后才能與目標客戶開展業務。  


        那么,您今天需要在組織內實施哪些關鍵的數據保護控制措施?本文將討論需要保護的敏感數據的類型,用于數據保護的五個關鍵控件系列,以及為信息安全審核記錄控件的重要性。


        需要保護的不同類型的數據

        每個組織都需要的關鍵數據安全控制(圖1)

        設計相關控件始于了解您的數據。沒錯,您需要對所擁有的信息有深入的了解,才能設計適當的防護措施。首先從以下關鍵問題考慮數據的性質:您正在收集的敏感信息是什么?哪些法規涵蓋此類數據?它在哪里?誰在尋找利用它的機會?如果此信息丟失,被盜或被破壞,將會帶來什么后果?


        以下是一些需要保護的數據類型(所有這些類型的數據均受一項或多項數據隱私法規的約束):

        • 各個標識符,例如姓名、地址、電子郵件和社會安全/駕駛執照/護照號碼。

        • 財務和付款持卡人信息,包括信用卡號、銀行帳戶、個人所有權、交易和信用記錄。

        • 就業和專業信息,例如就業歷史、推薦信、薪水、職稱和紀律處分。

        • 社交網絡,包括朋友的姓名、聯系、網絡和組關聯。

        • 與保健和醫療狀況有關的醫療和保健信息,包括健康記錄、體檢結果和處方。

        • 遺傳和生物識別信息,例如DNA代碼、指紋、虹膜掃描和面部幾何形狀。

        •  地理位置數據可識別可從智能手機、平板電腦、手表或其他IoT設備收集的設備的物理位置。

        • 與性取向以及宗教或政治信仰有關的個人偏好數據。

        • 教育記錄,包括成績、評估和出勤記錄。

        • 互聯網網絡活動,包括瀏覽歷史記錄和網站/應用程序交互。

        • 敏感的聯邦信息,包括為美國聯邦政府機構工作時在聯邦IT系統中生成、處理或存儲的數據。

        • 受控的非保密信息(CUI)或涵蓋的國防信息(CDI),這是敏感的聯邦信息的子類別,目前由CMMC對其進行管理


        如果您的組織收集了這些數據類型中的任何一種,則您將需要實施技術和管理控制以確保數據安全性、機密性和完整性。但是,某些數據高度敏感,需要更多的保護,而其他信息敏感度較低,需要的保護措施則少得多。

        每個組織都需要的關鍵數據安全控制(圖2)

        因此,您如何知道在安全性方面優先考慮哪些數據?


        一言以蔽之。您的組織收集和處理的所有數據都應進行分類。通過對數據進行分類,您可以創建敏感性層次結構,以確保您最敏感的信息得到可靠的保護。創建健康的數據分類策略是保護敏感信息的第一步。


        五個關鍵控制,可保護敏感信息

        訪問控制

        誰在訪問您的系統?保護用戶級別的信息系統訪問權限是您的第一道防線,正確的帳戶管理和執行至關重要。使用身份驗證管理和目錄系統,例如Active Directory和輕型目錄訪問協議(LDAP),來實現對帳戶、實施和功能的控制。這些控件擴展到用戶目錄之外,包括系統帳戶、網絡設備和數據庫。


        最低特權和職責分離提供了一種合理且流行的訪問控制方法。最低特權訪問權限僅允許那些需要并被授權訪問系統數據的人員,并且他們只能訪問其工作職能所需的信息。職責分離根據個人角色職責授予訪問權限,其中管理員具有比接待員或銷售代表更高級別的訪問權限。管理員可以具有多個帳戶,使用管理員登錄名執行管理功能,并使用用戶登錄名執行用戶功能。當管理員出于非預期目的使用帳戶時,可能會出現問題。例如,當管理員無法僅為非管理活動保留用戶級帳戶時,就會發生這種情況。


        訪問控制的另一個重要組成部分是確保您的團隊審核正確的事件并為審核員提供正確的信息。它有助于匯編您知道審計人員希望事先了解的信息列表。登錄失敗,遠程登錄和快速訪問升級是許多審核員可能要求的事件信息的示例。


        系統完整性

        您的系統沒有漏洞嗎?通過技術和操作控制來保護系統的完整性應該是當務之急。首先從安裝惡意代碼阻止和垃圾郵件防護機制開始;這些控件可阻止端點攻擊,并與用戶意識和培訓計劃一起發揮最佳作用。


        信息系統監視是正確設置和使用的最關鍵控件,因為它是煤礦中用于檢測網絡安全事件的金絲雀。此基本控制由監視檢測技術與自動化和端點檢測軟件配合使用來驅動。 


        完整性和故障控制為您的業務提供連續性和緊急保護。這些控件可確保未經授權不會更改系統數據,并提供業務連續性和災難恢復(BCDR)計劃。

        每個組織都需要的關鍵數據安全控制(圖3)

        配置管理

        您的配置更改是否得到授權?配置管理控件涵蓋用于授權更改系統配置的策略和過程。它們可防止管理員進行未經授權的調整,并要求將所有更改記錄在案。這些控件確保在設計和維護所有配置時都考慮到安全性。


        最近有沒有盤點數據?配置管理控件控制庫存的更新和數據監視。保持對數據的持續了解的重要性不可低估。用CISSP和Fortified Logic的首席執行官Josh Bobbitt的話來說,“了解任何數據本質上是任何可靠安全程序的開始?!?/p>


        安全評估和授權

        你知道你的弱點在哪里嗎?漏洞可以定義為信息系統、安全程序、內部控制或實施中的漏洞,可以被威脅源利用。許多人從這里開始樂趣,有人稱其為“道德黑客”,其最終目標是確定漏洞并確定環境的整體安全性。


        安全評估提供您環境的時間點快照,從漏洞和風險評估開始一直到完成滲透測試為止。在進行這些時間點評估之后,組織應使用行動計劃和里程碑(POAM)跟蹤所有發現的風險。這些報告列出了所有風險及其安全影響,建議的解決日期以及建議的緩解計劃。POAM是聯邦政府客戶的強制性每月交付產品,可能非常繁瑣且需要手動編寫。


        但是,盡管進行定期安全評估很重要,但這只是更廣泛的安全計劃中的一步。在當今不斷變化的威脅形勢下,時間點評估不足,因為它們可能在幾個小時內就過時。組織必須持續監視系統以跟上這些變化,從而保持對漏洞和風險的準確了解。系統漏洞掃描應盡可能頻繁地運行-最好每天或每周,但至少每月一次。

        每個組織都需要的關鍵數據安全控制(圖4)

        事件響應

        好的,因此您可以使用訪問權限、完整性和配置控件,并且可以進行安全評估和系統漏洞掃描。但是,您是否有經過測試的行動計劃,用于在安全事件確實發生時做出響應?希望您會這樣做-因為如果您沒有有效的事件響應計劃,其他控制措施將無濟于事。


        最后要部署的關鍵數據安全控制域是一個文檔化的響應計劃,該計劃詳細說明了基于數據分類和事件嚴重性的事件處理。事件響應計劃通常屬于IT和安全性管轄范圍,但應包括其他團隊的貢獻。 


        今天,由于多種原因,事件響應計劃至關重要。它們有助于保護您的業務并在發生安全事件后幫助恢復。如果您缺乏事件響應計劃,那么在不可避免的事件管理失誤發生時,除了可能面臨罰款和法律訴訟外,您還表示對審計師的安全承諾較弱。請記住,某些行業領先的框架(例如ISO 27001)和法規(例如CCPA)現在需要事件響應計劃。


        利用安全信息和事件管理(SIEM)系統軟件來幫助事件響應,可以使許多組織受益。SIEM軟件應通過數據威脅情報等其他工具進行完善和微調,以改善安全事件的檢測和管理。


        最后,必須對事件響應計劃進行例行測試,以確保在實際響應事件中功能正常。


        記錄控件的重要性

        正如我們之前所討論的那樣,如今僅憑自我保證安全信息安全的能力還遠遠不夠。審核員和客戶希望看到您的安全控制的有效證據,以驗證合規性。 


        如今,在將安全控制措施放到適當位置并對其進行測試以確保其有效性時,收集安全控制措施的證據應成為工作流程的常規部分。對于許多組織而言,收集和存儲證據仍然是事后的想法。通常,合規經理會在計劃的IT合規性審核開始前幾天就著手完成此任務。


        結論

        很可能,您的企業處理敏感信息只是時間問題,如果還沒有的話。您的組織必須證明存在技術和行政控制措施以實現合規性認證(例如SOC 2、ISO 27001、CMMC等),并滿足監管和合同義務。這不是一個可以偷工減料的領域,因為當您擁有的敏感客戶信息遭到破壞時,您的聲譽可能會受到重大打擊。


        不用擔心——有了這五個關鍵控制,您的團隊就可以保護敏感數據并證明合規性。首先使用基于最小特權和職責分離的身份驗證管理系統來控制網絡訪問。通過惡意代碼和垃圾郵件防護,連續的系統監視以及BCDR計劃,確保系統完整性。管理配置,以確保所有更改都得到授權和記錄。通過漏洞掃描和風險跟蹤不斷評估您的安全狀況。最后,在緊急情況下創建并維護經過測試的事件響應行動計劃。 


        您已經掌握了——每個組織今天需要的五個關鍵數據安全控制。通過實施這些關鍵控制措施,您可以更加自信地保護敏感數據,同時以知道自己正在盡一切努力使整個世界變得更加安全而自豪。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精