许多公司现在完全依赖于存储在其网络服务器、个人电脑、笔记本电脑、移动设备或云端的数据。这些数据中可能包含个人信息和/或公司机密信息。.
本文将探讨在评估计算机系统安全性时需要考虑的一些问题,以及如何最大限度地降低数据丢失的风险。我们还提供一份相关的情况说明书,其中涵盖了针对云端数据存储或采用外包服务的用户的一些额外注意事项。.
过去曾发生过多起备受瞩目的数据泄露事件,大量个人信息因此流入公共领域。这些信息包括健康记录、财务记录和员工资料。.
商业机构还面临着数据被竞争对手窃取的额外风险。.
显然,政府部门和企业的大规模数据丢失事件已成为新闻头条。然而,任何公司,无论规模大小,如果未采取合理的预防措施,都可能遭受数据丢失。.
根据英国文化、媒体和体育部 (DCMS) 委托进行的一项研究,2021 年英国约有 39% 的企业遭遇过某种形式的安全漏洞或网络攻击。该报告可在以下网址找到: https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022 。
审核个人数据的使用和存储
请考虑一下贵公司存储的潜在敏感和机密数据:
- 员工档案,包括出生日期、医疗信息、工资和银行账户详情等。
- 客户和供应商记录,包括银行/信用卡账户详细信息、密码、交易信息、合同信息、折扣和定价。
- 财务和绩效数据以及业务计划
- 机密数据并非总能方便地存储在“安全”的数据库中。员工经常需要创建和分发临时报告(使用电子表格和其他文档),这些报告通常是从数据库中提取的信息。这种数据检索方式往往会牺牲数据安全——因为数据库本身通常都有访问控制,但这些临时报告通常没有。
- 查明数据正在发生什么,以及采取了哪些控制措施来防止意外或故意丢失这些信息。.
风险分析和风险降低
关键问题是——如果全部或部分数据丢失,谁会受到伤害,以及如何受到伤害?
一旦这个问题得到解答,就必须采取措施降低数据丢失的风险。以下是一些降低数据丢失风险的措施:
- 定期进行备份,并将备份数据安全地存储在异地。
- 如果高风险数据存储在云端,请了解已部署的安全机制,以及必要时如何检索所有这些数据。
- 审查所有异地使用设备(包括笔记本电脑、手机、平板电脑等)上存储的信息类型。如果此类信息包含个人和/或机密数据,请尽量减少数据量或对其进行匿名化处理。确保对这些数据应用最适当的数据安全和数据加密级别。
- 如果允许使用移动设备访问公司设施,请确保已实施有效的自带设备办公 (BYOD) 政策。此外,还应实施适当的安全控制措施,以限制此类设备上可存储的数据类型。
- 确保处理在线支付的公司网站具备最高级别的安全措施,例如使用最新版本的 SSL 进行数据传输。如果您不将支付处理流程外包给支付网关服务商,而是将信用卡信息存储在您自己的服务器磁盘或内存中,则需要遵守支付卡行业数据安全标准(PCI DSS)。
- 审查公司内部USB及其他可写入介质(例如光盘设备)的使用情况/可用性,并考虑通过适当的安全设置、数据加密和物理控制,限制对这些设备的访问,仅限授权用户使用。
- 确保对公司网站和网络进行漏洞攻击测试,并考虑聘请渗透测试公司代表您进行这些测试。
- 制定处理敏感信息的程序,并在数据不再需要时安全销毁这些信息,这还应包括打印输出文件的销毁。
- 制定一套程序,用于删除或移除存储在移动设备上的任何个人/公司数据的访问权限。
- 对员工进行培训,使其了解自身职责、公司数据安全流程以及数据丢失时的应对措施。
- 培训员工识别恶意电子邮件、勒索软件、恶意软件和其他潜在威胁,以及应遵循的程序。.
安全漏洞
除了降低风险之外,制定应对安全漏洞的程序也是良好的做法。这些程序应主要集中在以下四个方面:
- 恢复计划和应对损害控制的程序
- 恢复审查流程旨在评估对个人可能造成的负面后果,这些后果的严重程度和实质性,以及再次发生的可能性。
- 通知程序——这不仅包括通知已经或可能受到影响的个人。如果安全漏洞涉及个人数据丢失,则应通知信息专员办公室 (ICO)。可能还需要通知其他监管机构和其他第三方,例如警方、银行和媒体。
- 违规事件发生后——确保采取适当措施防止类似事件再次发生,更新程序并对员工进行相应的培训或再培训。.
有用的资源
英国国家网络安全中心 – www.ncsc.gov.uk/guidance 。
英国企业面临的网络威胁 – www.ncsc.gov.uk/cyberthreat 。
