1、遵从数据安全要求的八个步骤一本详细的步骤指南,其宗旨是在当今法规备受关注的环境下为客户和员工机密信息资产提供隐私保护。遵从数据安全要求的八个步骤第 2 页 每个安全和遵从团队为保护机密数据并验证遵从所应了解的内容在过去一年,数据安全泄露和商业机密违规事件层出不穷,为高层管理人员敲响了警钟 只确保网络安全还远远不够。2008 年,数据泄露事件的总数已达 900 起。在 2008 年的前 10 个月中,我们发现的数据泄露事件已超过了 2007 年的总数.1。企业必须为数据本身提供保护,其目的不仅在于避免经济损失和品牌受损,而且在于证明遵从法规要求。根据几项国际和联邦数据隐私法规(如 Gramm-L
2、 each-Bliley (GLBA)、医疗保险信息交换与保密法案 (HIP AA)、支付卡行业 (PCI) 数据安全标准以及欧盟 (EU) 数据保护指令)以及 35 项以上的州法律的要求,企业必须对机密的客户数据和内部数据提供保护。S ymantec Data Loss Prevention 还可以使政府机构遵从各项法规,如联邦信息安全管理法案 (FISMA)、国家基础设施保护计划 (NIPP) 以及白宫 OMB 和 NIS T PII 要求。为了防范遵从违规风险,安全团队必须实施一定的流程和技术,以降低数据丢失事件的发生频率及严重性。圣地亚哥的身份信息窃取资源中心发现,今年有 449 家美
3、国企业、政府机构以及大学报道了客户数据丢失或被盗情况。去年,该中心记录了 446 起数据泄露事件,涉及 1.27 亿条个人用户记录。S ymantec Data Loss Prevention 帮助 Charles Schwab、E quifax 和 Ra ymond James Financial 等企业以及联邦机构和一些行业(能源与公共事业、金融服务、保险、高科技、零售、电信、制造、媒体和娱乐、制药以及医疗保健行业)的客户证明遵从这些外部法规以及内部数据安全策略。为了帮助您降低机密数据丢失的风险并验证遵从法规要求,S ymantec Data Loss Prevention 制定了以下指南
4、。本报告简要介绍了评估并加强您的数据安全流程、策略以及技术系统所应采取的具体步骤。1 华盛顿邮报的报告指出,2008 年 8 月数据泄露事件总数超过 2007 年的总和。 URL:http:/ 3 页 定量和定性地分析风险保护客户和员工信息等机密数据并验证遵从的第一个步骤是了解您所面临的风险。最新的统计数据表明,每 400 封电子邮件中就有一封包含机密信息,而每 50 个网络文件 2中就有一个包含机密信息。然而,对数据了如指掌的企业寥寥无几。对于这些数据的存储位置,使用情况以及被发现后的处理方式,很多企业都是一无所知。为了量化风险,安全团队必须更深入地了解暴露的机密数据。哪些数据处于风险之中
5、?是客户帐户还是患者健康状况数据亦或是财务记录?我的机密数据存储在文件服务器、数据库、笔记本电脑、台式机以及其他数据资料库中的什么位置?机密数据是如何通过电子邮件、即时消息或 F TP 传输到公司之外的?传输量是多少?哪些敏感数据将被下载到本地驱动器、刻录成 CD /DVD 或复制到可移动介质上?员工与公司网络断开连接时如何使用机密信息?事件的严重性如何?通过回答这些问题,安全团队可以定量和定性地分析风险,以便可以采取后续措施来实施保护性的流程和技术。Symantec Data Loss Prevention 可以帮助企业采取第一个步骤来验证是否遵从数据安全要求、识别信息资产面临的威胁以及潜在
6、的遵从违规情况,查明分布在终端、网络以及存储系统的特定机密数据(无论在何处存储或使用),并对安全违规事件出现的频率及其潜在影响的严重性进行量化。借助 S ymantec Data Loss Prevention,安全团队可以全面监控以下高风险领域:文件服务器、数据库、文档资料库、电子邮件资料库、分布式计算机或网站上存储的机密数据的位 置以及暴露情况从网络发出的机密数据(如客户记录、财务信息或知识产权等)的数量和类型 可能违反策略的机密信息暴露发生的频率及其严重性 将机密数据传输到公司之外所采用的方法 在终端传输、下载、打印、传真或复制的机密数据 对机密数据泄露事件负责的各方以及与之相关的严重性
7、 可能已经违反的遵从法规 企业通过 S ymantec Data Loss Prevention 风险评估对风险进行量化之后,便可制定数据安全策略,实施保护性技术,并主动采取相应的措施来验证遵从。2 Symantec Data Loss Prevention 风险评估。1 STEP遵从数据安全要求的八个步骤第 4 页 制定满足隐私和法规遵从要求的策略政府法规和劳动者隐私法在企业如何拟订并实施数据保护策略方面起着重要的作用。企业在全球范围内越分散,国际法对策略和员工监控的影响就越大。虽然不同国家或地区有着不同的隐私法和法规,但是,在制定使企业可以验证遵从的策略方面,还是有很多要求应该能为此提供指
8、导:保护数据本身的安全 验证法规遵从 保护员工隐私。 Symantec Data Loss Prevention使企业可以通过以策略为主导的数据查询、保护监控和防御满足这些 要求。预定义的策略模板可以用来检查数据(无论这些数据在何处存储或使用),以了解是否存在 可能违反 60 多项国际、联邦和州数据隐私法规(如 GLBA、HIP AA、PCI Data Securit y Standard、 FISMA、OMB、NIPP 和 PIPED A 等,这里恕不一一赘述)的情况。策略模板还提供了很大的灵活性, 使企业可以根据自身独特的数据保护需求以及运作管辖权进行定制。此外,有了这种灵活性,企业还 可
9、以根据法规的变更调整策略,以随着时间的推移不断验证遵从。管理和控制风险安全和遵从团队确定整个企业的风险及其严重性之后,便可部署 S ymantec Data Loss Prevention 解决方案,以降低风险并验证遵从。在这个阶段,数据(无论在何处存储或使用)保护、检测准确性、满足法规遵从要求的策略以及企业规模等要求成为决策流程中的关键因素。要使数据丢失防御解决方案行之有效,它必须具备以下功能:发现机密数据的存储位置 监控机密数据的使用情况 保护和防止机密数据丢失 管理并强制实施统一的数据安全策略 借助 S ymantec Data Loss Prevention,企业能够立即减少机密数据泄
10、露所带来的威胁。按照为满足企业遵从要求而专门设定的策略,不管数据在何处存储或使用,企业都能对其进行持续检查。检测到潜在的违规事件时,S ymantec Data Loss Prevention 会通过员工通知和提交上级自动进行补救,以便于企业可以改变员工行为并查明现有的业务流程中存在的遵从缺陷。3 STEP2 STEP遵从数据安全要求的八个步骤第 5 页 Symantec Data Loss Prevention 还可以识别本应受到保护的未加密数据,并在发送这些数据之前自动将其传送到加密服务器。最后,安全团队可以利用集中报告和分析功能来验证遵从,并更加快速而自信地做出审计响应。监督合作伙伴、供
11、应商和服务提供商全面的遵从策略不能局限于公司内部,还应包括一些面向企业合作伙伴、供应商以及其他外部服务提供商的规定。对于通过多种渠道关系共享数据的企业,S ymantec Data Loss Prevention 提供了一些特定的功能,可以保护机密信息并满足遵从要求。我们的集中式策略管理功能便是其中的一个例子,该功能覆盖了多个网络出口点,并且包括合作伙伴所在的位置。企业可以使用该功能在外包合作伙伴数据中心部署监控器并对它们进行集中管理。安全团队只需通过一个管理面板,即可了解潜在的数据泄露情况,向违规人员发出警报并及时对流程进行修补。最后,鉴于外包通常会涉及对跨国实体的使用,S ymantec
12、Data Loss Prevention 整合了多项功能,可以满足全球遵从要求。通过集中式策略管理和报告功能,可以对策略进行定制,使其遵循全球劳动者监管和隐私法规(如欧盟数据保护指令),并且仍保留企业对数据保护的需求。完善对工作人员的安全培训和意识教育一份行业分析报告显示,在招致损失的安全事件中,有 95% 以上的安全事件都是由以下内部人员造成的:员工、合同工以及其他有权访问机密信息的工作人员。此外,大多数事件不是由于图谋不轨导致的,而是由于无心之过或策略误解引发的。为了减少这种内部人员所带来的威胁,企业必须对工作人员进行安全培训和意识教育来改变其行为。通过 S ymantec Data Lo
13、ss Prevention,企业不仅可以改变工作人员的行为,而且可以修复通常会导致数据丢失的不完善业务流程。例如,一检测到事件,我们的发送通知功能就会自动发送一则定制的消息,通知员工并提醒其注意相关的公司策略。如果认为该事件很严重,那么将 S ymantec Data Loss Prevention 解决方案配置为自动将问题提交到管理层。通过对工作人员进行实时安全培训并提高其安全意识,可以帮助企业降低数据丢失的风险并验证法规遵从。5 STEP4 STEP遵从数据安全要求的八个步骤第 6 页 支持严格审查和审计安全和隐私团队需要证明他们遵从外部法规和内部策略。遵从证明包括对流程和控制的详细描述,
14、而流程和控制涉及检测、管理和控制机密和分类信息以及遵从劳动者隐私法规。虽然由于担心遭受处罚和陷于公众舆论的尴尬境地,外部法规通常会优先受到关注,但是,内部策略审计同样会引发这种顾虑,因为它们会占用时间和资源。与外部审计不同,内部审计并非由事件所意外引发,而往往通常伴随着细致入微的审核。Symantec Data Loss Prevention 使安全团队在更全面地响应内部和外部审计的同时,可以使占用的资源和时间降至最少。对于每种可疑的违规行为,S ymantec Data Loss Prevention 都会生成支持调查和审计的事件快照,并提供一系列的遵从报告,指出并量化风险区域,同时提供趋势
15、分析来验证风险随着时间的推移而不断降低。有了这样的洞察力,安全团队便可验证遵从,增强审计人员的信心,并证明他们已实施了相应的流程和技术,可以满足法规要求。向董事会和高级管理团队报告因为遵从违规事件通常会对公众形象和品牌带来负面影响,所以,数据丢失防御解决方案得到高层管理人员的高度认可。对安全团队而言,执行报告是满足遵从要求并验证风险随时间的推移而不断降低的关键步骤。高层管理人员希望主要了解下列内容:当前已量化的风险。 这使高层管理人员可以深入了解数据丢失防御风险,以便将其置于其他企业风险领域的环境中加以考虑。基于企业领域的风险。 对最大的风险领域了如指掌之后,企业便可将目标锁定于必须遵从要求的
16、操作所处的特定领域。 潜在的法规风险。 由于企业承担的责任与国际、联邦以及州数据隐私法规相关联,这就需要明确这些责任。风险随时间的推移而不断降低。 这项分析结果可能是最重要的,因为它证明了为减少法律责任而主动采取了相应措施。6 STEP7 STEP遵从数据安全要求的八个步骤第 7 页 我们的报告可以帮助安全团队主动解决执行问题。通过执行管理面板、分析和审计跟踪,我们的客户可以了解用于对整个企业的风险进行量化的主要执行级标准、向管理层通告法规责任,以及证明一段时间内风险降低的情况。S ymantec Data Loss Prevention 执行报告的一小部分样本如下所示:有关业务部门所面临风险
17、的报告 遵从法规方面可能出现的违规情况 业务单位可能出现的违规情况 外包合作伙伴可能出现的违规情况。 持续监控和报告以降低风险从遵从的角度来看,监管机构以及内部和外部的审计人员通常会查找企业主动、持续防范风险的证据。为了实现遵从目标,企业必须权衡数据保护策略是否随时间的推移而行之有效,以便了解潜在的违规情况、揭示明显的趋势并修补不完善的业务流程。 Symantec Data Loss Prevention 使企业可以持续降低数据丢失的风险。安装 S ymantec Data Loss Prevention 之后,客户便可设定风险基准,然后开始将目标锁定于制定相应的策略,促使发生违规事件的所有领
18、域都满足遵从要求。在系统操作过程中,可以通过工作人员通知、选择性消息阻止以及基于策略的加密等功能预防违规事件的发生。通过历史报告以及趋势分析,安全团队可以满足审计人员的要求,并为风险降低和遵从提高提供佐证。8 STEP结论根据 GLBA、HIP AA、FISMA、OMB 等法规以及 35 项以上的州数据隐私策略的要求,受委托处理隐私数据的跨国企业和政府机构必须为这些数据提供保护,使其免遭无意或恶意泄露的风险。这项法规监督又多了一层含义:企业必须将其纳入全面的数据丢失防御策略中。然而,了解法规仅仅只是开始。防范风险是一个不间断的过程,要求企业在其中深入了解当前的风险状况,实施相应的流程和技术来保
19、护数据,并且进行持续的分析和评估来获得持续的改善。Symantec Data Loss Prevention 使企业可以降低数据丢失事件的发生频率并减轻其严重性,从而保护品牌形象和声誉,确保客户数据的安全,保护知识产权,同时验证遵从。S ymantec Data Loss Prevention 提供了一种统一的解决方案,无论机密数据在何处存储或使用,均能对其进行查询、监控和保护。无论用户连接到企业网络还是处于离线状态,赛门铁克都能为各个终端、网络与存储系统上的机密数据提供全方位的保护。分层的架构使客户能够防止恶意和无意的数据泄漏(无论数据是存储在网络上,还是断开连接的终端上),并且可以阻止数据
20、离开任何网络网关或终端。入门指南我们的数据丢失防御专家团队将与您协作,了解您独特的数据安全要求和优先级,并与您一起分享 行业最佳实践。有关入门方面的信息,请致电 800 - 810 - 8826。关于赛门铁克赛门铁克是提供安全、存储和系统管理解决方案领域的全球领先者,可以帮助企业和用户保护并管理信息。赛门铁克总部位于加利福尼亚州的 Cupertino,现已在全球 40 多个国家和地区设有分支机构。有关详细信息,请访问 w 。Copyright 2009 Symantec Corporation. 2009 年赛门 铁克公司版权所有。All rights reserved. 保留所有权利。 Symantec、S ymantec 徽标和 Vontu 是赛门铁克公司或 其附属机构在美国和其他国家/地区的商标。 “Symantec”及“赛门铁克”是赛门铁克公司在中国的注册商标。其他名称可能是其各自所有者的商标。 04/09 WP-00201-CN 赛门铁克公司全球总部20330 Stevens Creek Blvd.Cupertino, CA 95014 USA+1 (408) 517 80001 (800) 721