鉴于企业目前面临激烈的商业竞争和复杂的外部环境,不少企业管理者在了解了数据防泄密的必要性后也已经部署和实施了防泄密产品,有些企业也正在积极准备数据防泄密规划。但是,企业在对防泄密项目的规划及部署上,还存在不少认知误区,这些误区或多或少的对于数据防泄密项目的规划及实施造成了困扰.
误区一:防泄密是IT部门的事情
数据防泄密工程在现实的情况中,往往都是由IT部门在主导和推动此过程,在讨论业务策略及系统方案实现上,往往最容易被忽视和出问题的正是这个环节,这可能导致产品部署后总是发生问题或者难以匹配业务变化的需求,IT部门和业务部门在过程中都成了受害者。海宇勇创资深安全专家认为,数据防泄密项目中业务部门应作为主角充分参与,同时IT部门也应该就方案与业务部门充分商讨评估,双方也要就实施后的业务影响及风险进行二次评估,这样才能确保防泄密风险的处置。
数据防泄密.jpg
误区二:规划部署跟着感觉走
目前很多企业都有数据防泄密的需求,但是我们也发现不少已经部署过数据防泄密产品的企业,自始至终都没有制定有效的书面数据防泄密政策和风险管理机制。没有建立数据防泄密政策,工作必然缺乏指引和方向,这也会导致业务部门和IT部门在数据防泄密项目部署时,往往都是跟着感觉走非常被动。部署防泄密产品前,需要清晰的了解数据是如何分级分类的,由谁负责以及如何使用保管,数据资产价值和保护现状如何,如何才能满足数据保护的合规要求,泄密事件的跟踪分析和处理过程,这些都是要在实施前就要充分考虑的问题。因此,海宇勇创建议企业在实施部署防泄密产品前,应当就上述问题充分调研并就自身特点形成书面的数据保护政策,确保防泄密产品部署的有效性和可执行性。
误区三:忽视员工保密意教育
对于信息安全管理来讲,目前大多数企业都基本达成了如下共识,即人是信息安全管理工作中的最大风险,也是最核心的安全要素之一,而对于人员培训恰恰是很多企业和厂商执行数据防泄密项目时的盲点。海宇勇创认为在数据防泄密项目执行中,应该抓住契机,对人员进行信息安全意识培训及数据安全保密培训,使得员工充分认知保密的重要性,并了解如何数据保护信息,从而进一步强化员工的执行能力和责任感。
误区四:系统上线后便可高枕无忧
很多时候,企业对于已经发生的泄密事件没有进行更深入的调查,根本无从知晓数据是如何泄密的,更多是将问题定位于对数据的流转途径和方式没有更好的管控。正因如此,大多数企业关注的焦点一直停留在已知风险的处理上,而对于可能存在的未知风险往往视而不见,比如安全管理、流程、已有控制措施、人员教育等。
综上所述,数据防泄密作为信息安全管理项目,除产品本身稳定成熟外,更需要关注实施方对于数据泄密风险及项目实施过程中风险的理解和把控能力,以及专业服务团队的能力和经验,对于一个成功的数据防泄密项目而言两者缺一不可。
4078
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
