想要防范企业数据外泄,首先要了解企业资料的分类,数据形态以及外泄风险来源。
1、了解企业中有哪些机密数据,并按重要程度进行分类;并且不同保密级别的数据应当控制知晓人的范围;越是高度保密的数据,知道的人越少。
企业的数据很多,但各类数据对于企业的价值或重要性不同,对于不同重要级别的数据,应当采取不同的控制防范措施。这样既能保护数据,也能让企业数据在内部有效流动。如果把所有数据都控制起来,导致数据沟通闭塞,会严重影响到员工的工作效率。
一般企业可以把数据分成绝密类、机密类、秘密类和一般类。
例如,可以将客户或供应商的基本资料作为绝密级别的数据,同时要明确这些基本资料中包含哪些具体的内容,例如客户身份信息、供应商原材料的采购价格等;然后,还要明确这些数据是由企业中哪个部门中的哪个具体的员工负责生成和维护,也就是确定数据保管的责任人。
企业应当成立专门的数据安全部门,由总经理负责领导。数据安全部门负责制定数据安全防范制度、监督制度执行、处理数据泄露事件等。
企业应当制作一个表格,列明数据的保密类型、具体包含哪些数据、数据由谁来保管。定期对表格内容进行维护。该表格由数据安全部门负责维护。
企业应当控制接触到数据的人和数据查看权限。应当明确规定企业中的哪些员工可以访问这些保密数据和访问权限,以及应该如何、何时及从什么位置可以访问它们等等。
2、明确企业中的数据保存形态;
保存形态,即电子形式或纸质形式。如果是电子形式,要明确什么保密级别的数据应当存储在什么设备中,这样的设备应当如何备份、由谁来保管。如果是纸质版,原件应当放在有锁的柜子或保险柜,应当由谁来保管开启保险柜的钥匙。
3、识别造成数据丢失的风险来源和性质;
根据企业的实际情况,梳理当前可能会引起数据泄露的情况;针对这些情况,制定相应的保密措施。
同时做好数据一旦泄露后的应对措施,评估数据泄露对于企业的影响。这些事情建议由数据安全部门负责。数据安全部门还要定期对企业数据泄露风险进行评估,进而制定或修改数据安全防范制度。
4、制定一个适合自身需求的数据控制策略;
一个具体的数据保护策略应当由两个主要部分构成:其一就是控制机制,也就是具体的控制类型;另一个就是控制点,也就是具体要控制的对象,例如,存储设备、数据库、文件服务器、应用程序、网络设备和终端设备等。
针对每个控制点,采取什么样的控制措施,就是数据控制策略。
重要的一点,企业一定得做一些强制性的技术性手段来预防员工有意无意的泄露企业数据,比如部署加密软件,使用防泄密U盘,可以防软件翻录盗版视频、防U盘拷贝机、防数据恢复防外发、防邮件发送。从里到外的防泄密,文件自动加密,即便是外发出去别人也打不开。