資源描述:
《企業(yè)確保出站內(nèi)容安全的五個(gè)步驟》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)��。
1��、企業(yè)確保出站內(nèi)容安全的五個(gè)步驟~教育資源庫(kù) 許多組織機(jī)構(gòu)投入了大量的人力�、財(cái)力和精力來(lái)制訂安全策略、采購(gòu)保護(hù)技術(shù)��,這些策略和技術(shù)的矛頭無(wú)不對(duì)準(zhǔn)組織機(jī)構(gòu)外部的黑客���、間諜軟件和病毒���。不過(guò),許多組織機(jī)構(gòu)如今開始認(rèn)識(shí)到:內(nèi)容安全還有另一個(gè)方面需要關(guān)注由內(nèi)到外的信息泄漏��?! ∮蓛?nèi)到外的威脅極其嚴(yán)重 組織機(jī)構(gòu)不但需要為自己發(fā)布的寶貴知識(shí)資產(chǎn)操心,如今還必須應(yīng)對(duì)從消費(fèi)者隱私到財(cái)務(wù)信息披露的眾多問(wèn)題方面越來(lái)越大的法規(guī)監(jiān)管壓力���。這一切處在政府和消費(fèi)者不信任公司的背景下��;這樣一來(lái)���,采取正當(dāng)做法來(lái)保護(hù)消費(fèi)者信息和股
2����、東信息�����、并切實(shí)得到預(yù)期行為就更加困難了�。這種內(nèi)部或由內(nèi)到外的威脅極其嚴(yán)重。據(jù)近期的數(shù)據(jù)顯示�����,每天有多達(dá)2億個(gè)微軟Office的商業(yè)用戶通過(guò)電子郵件發(fā)送1億多個(gè)文檔�����。這相當(dāng)于每個(gè)用戶每年發(fā)送的文檔超過(guò)125個(gè)�����。而且這個(gè)數(shù)字只考慮到通過(guò)電子郵件共享的信息�����,更不要說(shuō)通過(guò)其他電子方式發(fā)送的信息了�����。如今文檔是公司的通用媒介��,它們?cè)诮M織機(jī)構(gòu)之間不斷轉(zhuǎn)移�。 由內(nèi)到外的威脅帶來(lái)了嚴(yán)重風(fēng)險(xiǎn)��,從而有可能導(dǎo)致公司蒙受重大損失��,體現(xiàn)在面臨訴訟����、遭到監(jiān)管部門懲罰、丟失業(yè)務(wù)��、知識(shí)產(chǎn)權(quán)被人侵犯�,以及最寶貴的資產(chǎn)名譽(yù)遭受難以估
3、量的損害��。另外��,遵循監(jiān)管法規(guī)和公司策略的重要性不可低估��。各種文檔及其他商業(yè)信息對(duì)每個(gè)組織流程而言至關(guān)重要,包括財(cái)務(wù)文檔����、客戶和供應(yīng)商合同。每一個(gè)常見的業(yè)務(wù)流程都有相關(guān)的法規(guī)及內(nèi)部治理策略�,組織機(jī)構(gòu)必須嚴(yán)加遵守。合規(guī)要求分成好幾類���,包括如下: 財(cái)務(wù)報(bào)告法規(guī)�����,比如《薩班斯-奧克斯利法案》�����、《2005年投資基金�、公司和雜項(xiàng)條款法案》以及國(guó)際會(huì)計(jì)準(zhǔn)則理事會(huì)(IASB)的國(guó)際財(cái)務(wù)報(bào)告準(zhǔn)則(IFRS)��; 隱私和信息披露法規(guī)�����; 行業(yè)性規(guī)則��,比如醫(yī)療行業(yè)的《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)和金
4����、融服務(wù)行業(yè)的《巴塞爾第二號(hào)協(xié)議》(BASELII); 知識(shí)產(chǎn)權(quán)的保護(hù)��; 客戶合同及影響公司收入的其他文檔�。 明白這些合規(guī)要求可能適用于許多文檔和業(yè)務(wù)流程�����,這點(diǎn)同樣很重要����。比方說(shuō),按照《薩班斯-奧克斯利法案》的第404條以及歐洲共同體�、日本和澳大利亞的類似法規(guī)等法律,影響收入或成本報(bào)告的任何文檔或信息交換必須是完全能夠?qū)徲?jì)的��。這項(xiàng)審計(jì)要求擴(kuò)大了適用范圍��,還需要了解主要文檔在整個(gè)積極評(píng)審過(guò)程期間的歷史����。要是沒(méi)有足夠深入地了解內(nèi)外合規(guī)要求帶來(lái)的影響����,以及它們?nèi)绾斡绊懶畔⒌纳杉肮蚕?�,可能?huì)帶來(lái)嚴(yán)重
5���、的商業(yè)后果��。因而���,合規(guī)、隱私���、安全和法律等方面的主管面臨的主要挑戰(zhàn)是�,在合規(guī)的背景下�����,積極有效地了解及管理風(fēng)險(xiǎn)��,又不干擾公司依賴的重要文檔的流動(dòng)��。公司必須管理下面四種信息泄漏的風(fēng)險(xiǎn): 文檔和郵件里面所含的可見信息; 文檔和郵件里面所含的隱藏信息��; 必須加以限制的全部文檔����; 格式轉(zhuǎn)換工件 這四種信息泄漏的例子在新聞媒體上屢見不鮮�����,導(dǎo)致了國(guó)際政治危機(jī)�����、遭到監(jiān)管部門懲罰�����、股東訴訟���、丟失業(yè)務(wù)以及名譽(yù)受損等等�。管理與交換商業(yè)文檔有關(guān)的風(fēng)險(xiǎn)���,就需要結(jié)合政策的制訂及執(zhí)行���。組織機(jī)構(gòu)一定要有系統(tǒng)性方法來(lái)制
6��、訂策略����、執(zhí)行策略�。 出站內(nèi)容安全的五個(gè)步驟 在如今的全球化商業(yè)環(huán)境下�,出站內(nèi)容安全成了不斷面臨的挑戰(zhàn),它需要行動(dòng)�、衡量及定期的重新評(píng)估。組織機(jī)構(gòu)只有全力以赴�,才有希望管理與離開組織機(jī)構(gòu)的商業(yè)文檔及其他內(nèi)容有關(guān)的風(fēng)險(xiǎn)。下面是應(yīng)對(duì)這種挑戰(zhàn)的一系列最佳實(shí)踐���?! 〉谝徊剑航逃 榱藴?zhǔn)確評(píng)估風(fēng)險(xiǎn)�,組織機(jī)構(gòu)必須首先了解與交換商業(yè)信息有關(guān)的幾類風(fēng)險(xiǎn),以及信息泄漏的幾種類別����。風(fēng)險(xiǎn)的三個(gè)關(guān)鍵方面是安全性、合規(guī)性和準(zhǔn)確性��。信息泄漏的四種類別是:可見信息、隱藏信息���、應(yīng)當(dāng)加以限制的全部文檔�����,以及用戶看不見、但一旦重
7���、新轉(zhuǎn)換成原始格式又必須可見的格式轉(zhuǎn)換工件�����?����! 〉诙剑涸u(píng)估 在整個(gè)過(guò)程的這一階段���,必須進(jìn)行評(píng)估。這項(xiàng)評(píng)估至少應(yīng)當(dāng)評(píng)估第一步當(dāng)中定義的風(fēng)險(xiǎn)���、管理這些風(fēng)險(xiǎn)的現(xiàn)有策略和流程(可能尚無(wú)現(xiàn)有策略和流程)��,以及用戶對(duì)所描述風(fēng)險(xiǎn)的意識(shí)�����?���! 〉谌剑褐朴啿呗浴 ≡S多組織機(jī)構(gòu)已制訂并實(shí)施了信息風(fēng)險(xiǎn)分類機(jī)制。信息風(fēng)險(xiǎn)通常分為以下幾類:高度機(jī)密�����、機(jī)密����、只限內(nèi)部使用或者不受限制。此外��,建議不但按照如上所述的風(fēng)險(xiǎn)級(jí)別對(duì)文檔進(jìn)行分類��,還要按照風(fēng)險(xiǎn)驅(qū)動(dòng)因素對(duì)文檔進(jìn)行文檔���。這就提供了分類機(jī)制的第二個(gè)方面��。風(fēng)險(xiǎn)驅(qū)動(dòng)因素通常包括:
8��、隱私��、財(cái)務(wù)信息披露����、知識(shí)產(chǎn)權(quán)和行業(yè)性法規(guī)。這第二個(gè)方面可以根據(jù)這兩種分類對(duì)信息風(fēng)險(xiǎn)進(jìn)行不同的處理���。比方說(shuō)����,高度機(jī)密的財(cái)務(wù)文檔通過(guò)電子郵件發(fā)送給審計(jì)人員和財(cái)務(wù)人員也許可以接受����,但是發(fā)送給信用卡處理公司不可以接受�����?�! 〉谒牟剑簣?zhí)行策略 合規(guī)官員和安全人員如今必須想方設(shè)法確保策略得到執(zhí)行�。這就需要在整個(gè)組織機(jī)構(gòu)實(shí)施諸多變化:教育方面的變化、流程方面的變化以及技術(shù)方面的變化�����。 第五步:合規(guī)審計(jì) 組織機(jī)構(gòu)必須落實(shí)相應(yīng)機(jī)制���,以便監(jiān)控及審計(jì)信息安全防范策略的執(zhí)行情況����、適用性及有效性:
