日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
DLP導(dǎo)入停、看、聽成功關(guān)鍵在哪里?

從BS7799到ISO27001,我們看到了什么?信息安全管理系統(tǒng)涵蓋的范圍愈來愈全面,企業(yè)從風險評鑒的過程當中看到了資安危機,所以這些年來,幾乎是全員皆動,資安政策的不適應(yīng)也變成自然遵守,靠的就是員工使用習慣的改善。

創(chuàng)新互聯(lián)于2013年成立,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項目網(wǎng)站制作、做網(wǎng)站網(wǎng)站策劃,項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命,1280元澤庫做網(wǎng)站,已為上家服務(wù),為澤庫各地企業(yè)和個人服務(wù),聯(lián)系電話:18982081108

而計算機處理個人資料保護法到個人資料保護法,我們又看到了什么?原來個人資料這么值錢!!這是很多客戶看到個人信息法的罰則后第一個提到的問題,而且已不再是純計算機里的個人資料,舉凡電子及實體記錄的個人資料皆在本法保護范圍內(nèi),但企業(yè)最擔心的還是電子數(shù)據(jù)的個人信息在哪?該如何保護?該如何確保已盡善良管理人責任?企業(yè)即將面臨的種種挑戰(zhàn),我們首先想到的解決方案,就是目前最熱門的DLP (Data Loss Prevention)。

重點1:資料外泄問題的三個面向

然在導(dǎo)入DLP解決方案前,必須了解一個觀念:DLP不是個人信息保護的唯一工具,也不是一勞永逸的工具,雖然,DLP的確是一套管理外泄風險的有效工具,但我們所面臨的外泄問題,必須從以下三個面向來探討:

1、管理風險與確保政府法規(guī)遵循:

在布滿個人信息的企業(yè)環(huán)境里,必須先要了解這些個人信息所存在的風險因素,因為每份個人信息都有其價值性,依據(jù)每種價值度的高低,及外泄后對企業(yè)的影響力,訂定風險值,再者,對于個人信息法的相關(guān)要求(例如:利用、傳輸),是否有相關(guān)記錄進行存查,以確保外泄事件發(fā)生后能提供完善保護責任之證據(jù)。

2、數(shù)據(jù)在哪里?

電子數(shù)據(jù)無時無刻都在流動,不管這些個人信息目前存在主機、數(shù)據(jù)庫、個人計算機上、甚至是儲存媒體內(nèi),都必須進行清查作業(yè),以避免是否有個人信息曝露在高風險的設(shè)備上。

3、審視作業(yè)流程:

企業(yè)對于個人信息存取流程是否有誤,這在DLP導(dǎo)入時是很重要的一個環(huán)節(jié),否則員工都可以存取個人信息(員工、客戶、廠商),那就不知誰才是屬于違法存取的員工了。

重點2:個人信息法要求 組織應(yīng)正視數(shù)據(jù)防護的問題

個人信息無所不在,然最重要卻不是一套最完善的DLP,而是人,個人信息防護最重要的不是導(dǎo)入一個多嚴密的防護系統(tǒng),而是避免人為操作失當、疏忽、惡意所造成的外泄風險,當然組織也不能因為個人信息法的緣故,讓員工恢復(fù)以前的紙本作業(yè),這就等于為了節(jié)能都不準用電的意思一樣,所以除了透過科技手法外,也要使用獎懲方式來規(guī)范員工行為。

當然,在導(dǎo)入DLP前,企業(yè)需先思考,外泄管道為何?如果企業(yè)的對外網(wǎng)絡(luò)服務(wù)皆為自建自管(Web、Mail、DNS……等),就要考慮外部防護解決方案(Web AP Firewall、 IPS……等),如果為員工外泄就必須要限制使用者行為。

問題在于管理使用者是一門大學問,處理的好相安無事,處理不好,造成對公司反感,甚至故意破壞及盜取數(shù)據(jù),所以,針對用戶就要試想哪種管理方式比較好,如:封鎖使用設(shè)備或網(wǎng)絡(luò)服務(wù)(USB/Web/FTP/IM),還是監(jiān)控網(wǎng)絡(luò)使用內(nèi)容。

重點3:我該如何選擇DLP?

市場上已有很多廠商提供了很好的DLP解決方案,組織該如何選擇,并沒有對或錯,但在功能選擇上還是可以多加留意,包括了:

1、軟/硬件的差別:

目前市面上大部份的DLP解決方案都是以軟件為主,但開始有廠商提供了專屬設(shè)備,主要是因為DLP需要監(jiān)控網(wǎng)絡(luò)封包,這時硬件的效能就很重要了,所以專屬設(shè)備對于軟件優(yōu)化來說就非常好,但如遇到組織成員擴增時,專屬設(shè)備就顯得沒有彈性了,而軟件沒有專屬設(shè)備,所以可以依據(jù)組織成員規(guī)模布署適合的設(shè)備,當然也可以預(yù)留升級的空間,但因不是專屬設(shè)備,所以并未對軟件進行優(yōu)化,所以設(shè)備效能各方面都必須考慮(CPU、RAM、I/O、Network)。

2、保護標的物:

舉凡存放個人信息的所有主機與數(shù)據(jù)庫,或是用戶的個人計算機與移動設(shè)備,甚至儲存媒體與組織對外的所有網(wǎng)絡(luò)服務(wù),都應(yīng)納入保護的重要標的物,當然DLP并非一勞永逸的工具,所以搭配防火墻進行對外網(wǎng)絡(luò)服務(wù)的封鎖,是比較適當?shù)淖鞣?。以下為企業(yè)可以監(jiān)看的檔案類形:

A、于網(wǎng)絡(luò)端可以監(jiān)控的類型:像是HTTP(S)、WebMail、社群、Web HD、FTP、IM及組織使用之郵件系統(tǒng)等

B、于使用者端可以監(jiān)控的類型:像是個人信息檔案移動、檔案內(nèi)容拷貝、媒體復(fù)制、打印機、上網(wǎng)行為甚至透過SmartPhone同步數(shù)據(jù)。

3、內(nèi)建范本:

從BS10012、PCI、HIPPA、或是各國個人信息法令要求規(guī)范,這些都是與我國個人信息法都有涵蓋的范圍,所以為了有效設(shè)定正確的DLP防范政策,這些都是可以參考調(diào)整的政策模板,當然有些業(yè)者甚至還有提供我國個人信息法的政策范本,值得讓需要導(dǎo)入的讀者參考,最后要提的是,評估政策模板不在于數(shù)量多寡,而是能否自行調(diào)整政策,讓我們設(shè)計與組織最適合的政策并符合個人信息法,這才是我們所需要的。

4、用戶許可證與整合性:

臺灣很多都是中小企業(yè)起家,甚至網(wǎng)絡(luò)商店業(yè)者,但員工數(shù)量卻是屈指可數(shù),幾乎很多都是微型企業(yè),不過這些企業(yè)手上都擁有大量可觀的個人資料,但在導(dǎo)入DLP的第一步,可能就會遇到用戶許可證的難題,有些業(yè)者的DLP最少是50或100人為一個基數(shù),但網(wǎng)絡(luò)商店業(yè)者的員工人數(shù)可能只有5人,卻要買100人授權(quán),這個問題就需要業(yè)者思考對于基數(shù)的調(diào)整了。#p#

另外就是整合性的問題,無論保護標的物是主機或是個人端設(shè)備,一定都已安裝防病毒軟件,也已行之有年了,若能讓Endpoint端監(jiān)控程序與防病毒軟件整合在一起,除了管理容易外,對于端點設(shè)備的資源負載也減輕不少。

重點4:為何導(dǎo)入DLP會失???

前面提過DLP不是一勞永逸的工具,并非一帖見效保證成功的藥材,所以在導(dǎo)入前,整個組織在個人信息的安全維護計劃一定要夠周延,否則DLP充其量只是個空殼子,終究無法發(fā)揮最大的效果,以下簡單列出導(dǎo)入DLP的成功關(guān)鍵。

1、訂定個人信息的相關(guān)政策與程序

清查與明白個人信息存放位置與個人信息訪問控制列表的建立是非常重要的,這悠關(guān)對于DLP的特征比對政策是否有效,另外對于個人信息搜集處理利用及傳輸之使用限制,也必須明訂清楚,有了這些使用限制,管理者也就可以依規(guī)定來制定DLP個人信息政策。

2、倡導(dǎo)與訓(xùn)練

從以往信息安全訓(xùn)練就已是組織內(nèi)基礎(chǔ)知識的一環(huán),所以對于個人信息安全的倡導(dǎo)并不會有太多阻力,只是,在明確定義個人信息與適用法規(guī)時,是有對員工加強倡導(dǎo)的必要性,另外每個員工都有保護個人信息的相關(guān)責任與權(quán)力義務(wù),也都必須讓員工清楚,避免造成作業(yè)疏失個人信息外泄。

3、應(yīng)配合相關(guān)端點管理

除了DLP防范個人信息外泄外,對于端點的軟件安裝、系統(tǒng)設(shè)定的權(quán)限限制等,也必須多方考慮,因為使用者的行為往往讓人意想不到,所以對于網(wǎng)絡(luò)服務(wù)限制、加密硬盤與USB、甚至OTP都必須考慮,務(wù)必做到個人信息防范滴水不漏。

4、誰該看?

從以前有關(guān)員工行為管理解決方案的記錄里,就一直在討論這個問題,當然DLP也不例外,主要也是這些被攔截的任何個人信息,在DLP上都看的清清楚楚,不管是信件內(nèi)容、網(wǎng)頁內(nèi)容、甚至傳送出去的任何檔案,都可以開啟,如果DLP的管理人員都可以看,是否又是另一條外泄管道?所以DLP的權(quán)責分工與權(quán)限最小化,是相當重要的議題,另外DLP記錄稽核作業(yè),也是要注意的部份,本文最后答案并不會左右管理者誰該看,而是讓組織內(nèi)的相關(guān)人員可以思考這個問題。

結(jié)論

DLP雖然是這幾年才有的解決方案,但我們?nèi)绻堰@些相關(guān)功能拆解開來,各位讀者是否也有似曾相識的感覺呢?個人信息外泄這個議題,除了有效的科技手法外,制度面與人員的倡導(dǎo)也是缺一不可,否則企業(yè)買到的工具永遠只是一個空殼、無法發(fā)揮效益。 

【編輯推薦】

  1. Websense推出Cloud DLP擴展云端安全防護能力
  2. 移動設(shè)備的普及給信息安全管理帶來全新的挑戰(zhàn)
  3. 八個問題帶你認識一個成熟的數(shù)據(jù)泄露防護(DLP)解決方案
  4. Websense推出全球首例移動DLP

分享標題:DLP導(dǎo)入停、看、聽成功關(guān)鍵在哪里?
網(wǎng)站路徑:http://www.dlmjj.cn/article/djspehe.html