防止资料外泄最佳应用实务方法论.PDFVIP

防止資料外洩最佳應用實務方法論 成功降低資料外洩風險的指南 目錄 簡介3 專案階段摘要4 排定資料外洩政策的優先順序 5 建立資安事端應變與管理的最佳應用實務 5 以風險為主的部署方式 7 防止資料外洩完美典範 7 賽門鐵克防止資料外洩的建議 8 簡介 無論位於何處的企業均仰賴高速網路與行動運算，以便在所有層面輕鬆地分享與存取資訊。不幸的是，這 樣敞開大門的世界也為資料保護帶來了全新挑戰。無論這些挑戰是否與遵循規定嚴格的金融服務、保險和 零售業有關，或者是在高度競爭的高科技與製造業保護智慧財產，企業都必需瞭解其機密資訊存放的位 置、使用方式、以及如何有效預防資料外洩。 長期、永續的資料保護方案的第一步就是判斷這些挑戰，然後對整個企業的計劃做出承諾，結合人員、流 程與科技，以解決企業面臨的風險。一旦做出解決風險的決定，企業就必須清楚定義成功計劃，包含特定 的步驟、工作、資源與目標，以達到短期與長期目標。 一套完備、清楚定義且企業導向的防止資料外洩方案能利用更少的資源、更快速地大幅降低風險，藉由將 賽門鐵克防止資料外洩解決方案與現有安全方案整合，並運用軟體來推動企業的計劃，就能推動整個企業 的改變。這些成功的方案有 6 個共通的特質： 1. 高階主管的參與。支持保護資料以及改變業務流程和員工行為的工作一定要從上而下。 2. 專屬且經驗豐富的資源。團隊成員應瞭解如何管理複雜、跨部門的合作，且必須專門推動防止 資料外洩計劃與企業內的變革。 3. 採取排定優先順序的方式。機密資料具有各種形式，同時在企業內到處都有，先鎖定最重要的 資料，就能收立竿見影之效。 4. 業務負責人的參與。判別全新威脅 、維持最新政策並修正不完整的業務流程所需要的資訊必須 來自於最接近資料的人。 5. 訓練有素的資安事端應變小組 (Incident Response Team ，簡稱 IRT) 。清楚定義的角色 、責任 與程序可推動一致性與部門的認同 。 6. 員工的教育。對員工行為的可見度能讓企業將教育訓練著重於主要的風險區域 ，並且及時強制 執行企業的資料保護政策，推廣保障資訊安全的文化 。 賽門鐵克的防止資料外洩專業服務資源會在我們每一個合作專案中 ，按照結合了上述 6 項特質的最佳應用 實務方法論執行。主要目標是建立一個適當結合人員、流程與技術的方案，然後應用在整個專案生命週期 當中 。遵照這種方法論並運用本文所述的專業知識和最佳應用實務的企業，就能在 90 天之內持續降低可量 化的風險。 防止資料外洩最佳應用實務方法論 版權所屬 © 2009 賽門鐵克公司。所有權利皆予以保留。 日期 4/6/09 第 2 版 3 專案階段摘要 在專案的前兩個階段，也就是規劃與部署階段，目標是針對長期的成功建立基本原則與基礎架構 。這也是 您在推展防止資料外洩專案時最重要的時期，因為，您未來的成功將仰賴此時的工作。在前兩個階段，您 應確保： • 找出並保護您最重要的資料 • 根據您的目標部署與運作系統 ，並提供最大的涵蓋範圍 • 正確地設定政策，以掌握資安事端，將誤報減至最少 • 訓練資安事端應變人員，並且為解決違反政策的情形做好充份準備 • 員工充份認知他們保護資料的責任 在專案的最後四個階段 ─ 建立基準 、矯正 、通知與預防/ 保護，重點則是放在降低風險與推動可量化的成果 上。在這些階段中 ，您應： • 微調政策 • 找出並改變會造成風險的業務流程 • 擴充 、修改與自動化矯正的工作，以最少的資源創造最大的影響力 • 當員工的行動會產生風險時 ，即時通知員工 • 在不影響業務正常運作的情況下，預防並保護重要資料，避免流出公司以外的地點 • 收集特定的數據 ，以展現並記錄一段時間後降低的風險 我們的方法是循環且反覆進行的。一旦您能夠針對您最重要的資料達到降低風險的目標，就可以擴充並著 手解決下一個層次的重要資料。 在接下來的 5 頁中 ，賽門鐵克將提出我們的建議，教您如何利用賽門鐵克防止資料外洩解決方案開始大幅 降低風險，包括 ：