[[175390]]

信息保護已經成為真正的生意，以至于政府和行業組織已經對數據安全規則以及數據泄露的相關懲處做出了明確規定。單美國自己就有許多法律和行業協定要求組織制定政策和過程來識別數據西樓風險。這些風險還必須基于其安全等級進行進一步分類，規則還要求制定特殊的保護和控制措施來保護數據。進一步還要求公司提供數據泄露事件的公開報告，無論是意外造成的還是出于惡意意圖的。

不過盡管有許多這些非常特殊的數據保護合規性指導，挑戰依然。2015年共發生了781起數據泄露事件，受連累的記錄達到7億份。網絡犯罪已經發生了根本性的變化，從對網站造成嚴重危害的分布式拒絕服務攻擊或者信用卡盜竊過渡到更陰險狡詐的犯罪意圖。知識產權盜竊、黑客行為主義(hacktivism)、政府情報收集、數據泄露這些活動使得有組織犯罪成為常見的事情。近年來值得注意的一些泄露包括：

• 索尼身上發生的企業知識產權數據泄露。 存放在由美國人事管理局(OPM)管理的數據庫中上百萬個人可識別信息(PII)的泄露。PII包括了個人的社會安全號碼、生日、地址等信息。
• 超過1億的健康保險會員記錄被盜，其中健康支付商Anthem泄露規模最大，被盜記錄達到了7800萬份。

從合規性角度來說保護敏感數據是重要的，但也會提供商業價值。上述泄露的共同主題是破壞組織安全措施導致的潛在損失與被盜內容的價值是直接相關的。比防火，泄露的索尼數據有可能包含了商業運作和交易的信息，這些信息有可能被用來操縱股票市場。OPM泄露有可能導致流氓國家對所有政府員工和承包商都建立檔案，而盜取健康數據可以被用來進行保險欺詐。

總之，組織已經運用了網絡邊界安全方法，為的是防止泄露并在系統受牽連的情況下提供通知。這種辦法仍然存在一定程度的風險：針對未必實時發生的泄露，以及在許多情況下等到影響被注意到泄露早已發生多時或者對哪些數據集已被盜取的檢測能力。網絡邊界安全當然是防止數據泄露的必要組件，但是對于完整的數據保護計劃來說光有這個是不夠的，因為一旦防火墻被攻破，保護就受限了。

美國數據保護合規性監管

美國有幾個行業相關的合規性法則概括了識別和緩和數據安全風險的過程。下面是美國數據保護合規性法則眾多例子當中的一些示例：

在線數據保護：兒童在線隱私保護法案(COPPA)要求合理的過程去“保護對兒童個人信息收集的機密性、安全以及完整性。”

金融機構數據收集：根據金融服務現代化法案的安全規則，“金融機構必須形成書面的描述保護客戶信息規程的信息安全計劃。”該計劃必須包括“在公司運營的每一個相關領域識別和評估客戶信息風險，并且評估當前控制這些風險的保護措施的效能”的流程。

保護健康信息：健康保險流通與責任法案(HIPAA)隱私規則的目標是“確保個人的健康信息受到適當保護的同時允許必要的健康信息流動來提供和促進高品質的醫療保健……”

相應地，HIPAA違反通知規則要求，HIPAA涉及的實體及其關聯企業在不安全的受保護健康信息被泄露后要提供通知，這種行為一般是指“在隱私規則下不被許可的、導致受保護健康信息的安全或隱私受侵犯的使用或者泄露。”

聯邦機構數據保護：”2002年的聯邦信息安全管理法案(FISMA)要求聯邦機構制定計劃來提供幫助保護信息資產的信息系統安全。FISMA指導這些機構“提供制定和維護最低要求所需的控制來保護聯邦信息和信息系統。”

信用卡處理：支付卡行業數據安全標準(PCI-DSS)是一個行業性的標準，標準提出了若干控制措施來保護存儲的持卡人數據并限制對這一數據的訪問。

數據保護合規性的實施

更大的洞察要求進行更全面的敏感性分析、風險評估以及數據保護合規性控制的制度。為了強化遵守數據保護法規和行業指導意見的手段，需要處理好下面這三個實施信息和內容保護的關鍵問題：

數據感知：在數據資產可進行保護之前，我們必須意識到這種數據的存在。許多組織缺乏共享、可訪問的主要數據集的目錄，更不必說對犯罪分子有可能感興趣的工作組或者桌面的人工產物進行詳細評估了。因此，要在共享的詳細目錄中建立一個數據資產目錄來幫助支持數據保護合規性過程。

敏感性評估：設計一個流程來分配被標識的數據資產的敏感度。然而，要意識到盡管不是每一個數據集都包含有敏感信息，但是從不同數據集調配出來的數據可能會創建出不斷需要保護的信息集。要制定形成評估數據敏感度的辦法，并且用來對數據集進行敏感度認定。

數據保護：對于那些包含敏感信息的數據集來首，必須運用特定應用方法來保護破壞安全事件的內容。要建立訪問控制并且定義數據訪問的角色和權限。這可能包括了加密(靜態和動態)數據的手段，以及基于用戶權限級別的數據掩碼。

因為數據安全團隊成員未必熟悉這些類型的數據管理最佳實踐，在數據管理專業人士與安全管理專業人士之間建立合作關系就顯得至關重要。這里面還需要技術支持全面的數據保護計劃，擁有數據資產識別和管理的評估工具也很重要。這些技術可以在多個數據集組合起來是用來確定受保護數據泄露的風險是否會增加。

最后，要考慮利用加密和數據掩碼策略的數據保護策略的實現方式。通過彌補網絡邊界安全與內容保護的鴻溝，你的組織就能擁有一個更加可預測的計劃來將信息安全風險與對數據保護規則的違規行為降到最低。