資料保護的定義
資料保護是指有助於防止敏感性資料損毀、外洩及遺失的安全性策略和程序。敏感性資料的威脅包括資料外洩和資料遺失事件。
資料外洩是指經由網路攻擊、內部威脅或人為錯誤等來源在未經授權的情況下存取組織的資訊、網路或裝置。除了遺失資料外,您的組織還可能會因為違反規定而遭到罰款、因洩漏個人資訊而面臨法律訴訟,以及使品牌信譽長時間受損。
資料外洩事件是指蓄意或無意導致組織無法正常營運的狀況,例如膝上型電腦遺失或遭竊、軟體損毀,或電腦病毒入侵您的網路。事先制定安全性原則,以及訓練員工識別威脅和判斷回應方式 (或是否要回應),是您資料保護策略中的重要一環。
資料保護的關鍵原則
資料可用性和資料管理是資料保護的兩大關鍵原則。
資料可用性可讓員工存取日常作業所需的資料。維護資料可用性可促成組織的商務持續性和災害復原計劃,此計劃是資料保護計劃中的重要元素,且需依賴儲存在個別位置中的備份副本。存取這類副本可為員工盡可能縮短停機時間,並使他們持續在工作上正常發揮。
資料管理包含資料生命週期管理以及資訊生命週期管理。
- 資料生命週期管理涵蓋資料建立流程、儲存空間、使用方式和分析,以及封存或處置。此生命週期可助您確保組織有遵守相關規定,且不會儲存不必要的資料。
- 資訊生命週期管理是一種對源自於組織資料集的資訊進行記錄和儲存的策略。它的目的是確定資訊的相關性和正確性。
為什麼資料保護很重要?
資料保護是避免您組織資料遭竊取、外洩及遺失的重要功臣。它會運用符合合規性規定的隱私權原則,並避免組織的信譽受損。
資料保護策略包含監控和保護環境中的資料安全,以及持續掌控資料的可見度和存取權。
制定資料保護原則後,組織便可以確定對各項資料類別的風險容忍度,同時遵守適用規定。這項原則還會協助您建立驗證和授權,來確定哪些對象可以存取哪些資訊,以及原因是什麼。
資料保護解決方案的類型
資料保護解決方案會協助您監控內部和外部活動、標記可疑或有風險的資料共用行為,以及控制敏感性資料的存取權。
-
資料外洩防護
資料外洩防護是一項安全性解決方案,它會透過監控資料資產中的敏感性資訊等動作,來協助防止組織出現共用、傳輸或使用敏感性資料的情況。此外,它還能協助確保您遵守法規要求,例如健康保險流通與責任法案 (HIPAA) 以及歐盟 (EU) 的一般資料保護規定 (GDPR)。 -
複寫
複寫是指持續從單一位置複製資料至另一個位置,來建立和儲存資料的最新副本。它允許主要系統當機時對此資料進行容錯移轉。除了避免資料外洩外,複寫還會讓您透過距離最近的伺服器取得資料,使授權使用者以更快的速度存取資料。此外,具備組織資料的完整副本還能讓小組在不干擾日常資料需求的情況下進行分析。
-
內建保護機制的儲存體
儲存體解決方案應提供資料保護,不過也應讓您復原遭到刪除或修改的資料。舉例來說,多層備援有助於避免資料遭受服務中斷、硬體問題及自然災害的波及。當有人覆寫並建立新的版本時,版本設定會保存資料先前的狀態。在儲存體帳戶上設定鎖定 (例如唯讀或無法刪除),以協助避免資料遭意外或惡意刪除。
-
防火牆
防火牆會協助確保僅有授權使用者能夠存取組織的資料。它會根據您的安全性規則來監控和過濾網路流量,同時協助封鎖病毒和勒索軟體等威脅。防火牆的設定通常會含有建立輸入和輸出規則、指定連線安全性規則,檢視監控記錄,以及在防火牆封鎖某些內容時接收通知的選項。
-
資料探索
資料探索是在資料中心、膝上型電腦和桌上型電腦、各種行動裝置以及雲端平台尋找組織存有的資料集的過程。接下來是對資料進行分類 (例如將資料標記為受限、私人或公用),然後確認資料是否符合法規合規性。
-
驗證和授權
驗證和授權控制會驗證使用者認證,然後確認存取權限是否已正確指派並套用。角色型存取控制是其中一種方式,僅會將存取權提供給需要權限完成工作的人員。它可以與身分識別和存取權管理搭配使用,來協助控管員工的存取權,進而為組織的資源 (例如應用程式、檔案及資料) 多添一層保護。
-
備份
備份的類別為資料管理。備份的頻率取決於您 (例如每晚進行完整備份,全天則是進行增量備份),且您可以藉由備份迅速還原遺失或損毀的資料,進而將停機時間降至最低。典型的備份策略包含儲存多個資料副本,並將完整的副本組儲存在獨立的伺服器,然後將另一份完整副本組儲存在異地位置。備份策略將會與災害復原計劃保持一致方向。
-
加密
加密有助於維護資料的安全性、機密性及完整性。加密會應用於待用或傳送中的資料,以防止未經授權的使用者檢視檔案內容 (即使對方可存取檔案的位置)。系統會將純文字轉換成無法辨識的加密文字 (換句話說就是將資料轉換成代碼),而這些加密文字需有解密金鑰才能夠進行讀取或處理。
-
快照
快照是檔案系統在特定時間點的畫面,它會保留該畫面,並追蹤該時間點之後的任何變更內容。這項資料保護解決方案參考了運用一系列磁碟機 (而非伺服器) 的存放裝置陣列。陣列通常會建立指向資料位置的目錄。快照會複製陣列,並將資料設為唯讀。系統會在目錄中建立新的項目,並保留先前的目錄。快照也會含有用來復原伺服器的系統設定。
-
資料刪除
刪除是指刪除組織不再需要的儲存資料。此程序也稱為資料抹除,且通常是為了配合法規要求。根據 GDPR 規定,個人有權要求刪除其個人資料。這項刪除權利又稱為「被遺忘的權利」。
保護、安全性和隱私權
資料保護、資料安全性以及資料隱私權這些術語似乎可以互通,不過它們其實各有不同的用途。資料保護包含組織用來協助防止敏感性資料損毀、外洩及遺失的策略和程序。資料安全性關係到資料的完整性,且旨在保護資料避免遭到未經授權的使用者或內部威脅進行破壞。資料隱私權會控管可存取資料的對象,並決定可與第三方分享的內容。
資料保護最佳做法
資料保護最佳做法是由相關計劃、原則及策略組合而成,它會協助您控制資料的存取權、監控網路和使用狀況活動,以及對內外部威脅進行回應。
-
隨時掌握相關規定
全方位的控管計劃會確定法規要求,以及其對組織資料的適用性。確認您是否具備所有資料的可見度,並以正確的方式進行分類。請確定您有遵守所屬產業的隱私權規定。
-
限制存取
存取控制會透過驗證來確認使用者的真實身分,並透過授權來決定對方可查看和使用的資訊。資料外洩時,存取控制是您必須先仔細審查的其中一項原則,以確定它是否有正確進行實作和維護。
-
建立網路安全性原則
網路安全性原則定義了組織內部的 IT 活動,並提供了相關說明。它可以讓員工了解到資料所面臨的常見威脅,並協助他們在面對安全和防護的問題時更加謹慎。它還可以清楚說明資料保護策略,並促進使用資料時負起責任的文化。 -
監控活動
持續進行監控和測試有助於找出潛在的風險。利用 AI 技術和自動化資料監控工作,以便快速有效地找出威脅。這項預警系統會在潛在資料和安全性問題造成傷害前向您發出警示。
-
制定事件回應計劃
在發生資料外洩事件前事先制定好事件回應計劃,將讓您在採取行動時不至於亂了手腳。此計劃將會協助回應小組 (例如 IT、資安以及通訊主管) 維護系統的完整性,並盡快讓組織恢復正常運作。
-
識別風險
持有您資料、電腦系統及安全性做法相關資訊的員工、廠商、承包商及合作夥伴。若要找出未經授權存取資料的行為,並協助避免資訊遭到不當使用,請了解自身所持有的資料,以及資料在數位資產中的使用方式。
-
改善資料儲存安全性
資料儲存安全性會運用存取控制、加密及端點安全性等方法來維護已儲存資料的完整性和機密性。它還可以降低遭遇蓄意或無意傷害的風險,並讓資料持續處於可用狀態。
-
訓練員工
內部風險是導致資料外洩的主要原因 (無論是蓄意或無意)。請在各個層級清楚傳達資料防護原則,協助員工遵守相關規定。出現特定問題時,請經常透過進修課程和指導來重複進行訓練。
資料保護合規性和法律
所有組織皆必須遵守相關資料保護標準、法律及規定。法律義務包括但不限於僅向客戶或員工收集所需資訊、保護資訊的安全,以及進行適當處置。下列是隱私權法律的相關範例。
GDPR 是最嚴格的資料隱私權和安全法。雖然 GDPR 是由歐盟擬定並通過,不過全世界的組織若鎖定或向歐盟成員國的公民或居民收集個人資料,或者向對方提供商品和服務,則必須遵守該法的規定。
加州消費者隱私保護法 (CCPA) 會協助保護加州消費者的隱私權,包括了解企業收集及使用和分享個人資訊的方式的權利、刪除向他們收集的個人資訊的權利,以及選擇不出售個人資訊的權利。
HIPAA 會協助防止病患的健康資訊在病患不知情或未同意的情況下洩漏出去。HIPAA 隱私權規則會保護個人健康資訊,且經頒布以實施 HIPAA 的規定。HIPAA 安全性規則會協助保護醫護人員以電子化方式建立、接收、維護或傳輸的識別健康資訊。
Gramm-Leach-Bliley Act (GLBA)(又稱為《1999 年金融服務法現代化法案》) 要求金融機構向客戶說明其分享資訊的做法,並保護敏感性資料的安全。
聯邦貿易委員會 (Federal Trade Commission) 是美國地區首要的消費者保護機構。聯邦貿易委員會法案宣佈任何不公平競爭的方式以及影響商業活動的不公平或欺騙行為或做法皆違反法律規定。
資料保護趨勢
隨著策略和程序不斷演進,您的組織也必須了解一些資料保護的趨勢,其中包括法規合規性、風險管理以及資料可攜性。
-
其他資料保護規定
GDPR 已成為了其他國家/地區收集、揭露及儲存個人資料的基準。美國地區 (加州) 的 CCPA 以及巴西地區的一般個人資料保護法 (General Personal Data Protection Law) 至頒布以來已開始發揮成效,以跟上線上消費以及個人化產品和服務的浪潮。
-
行動裝置資料保護
防止未經授權的使用者存取您的網路,這之中包括保護儲存在膝上型電腦、平板電腦及智慧型手機等可攜式裝置的敏感性資料。安全性軟體會透過身分識別驗證來協助防止裝置遭入侵。
-
降低第三方的存取權
資料外洩常常是對組織網路和資料擁有過多權限的第三方 (例如供應商、合作夥伴及服務提供者) 所導致。第三方風險管理的辦法正研擬納入合規性法規,以限制第三方存取和使用資料的方式。
-
資料複製管理
資料複製管理會偵測重複資料、比較相似的資料,以及讓組織刪除未使用的資料副本。這項解決方案能大幅降低重複資料所造成的不一致現象、降低儲存成本,以及協助維護安全性和合規性。
-
資料可攜性
當初雲端運算問世時,資料可攜性和將大型資料集遷移至其他環境可說是個大問題。如今,雲端技術使得資料更具可攜性,讓組織得以在不同環境之間轉移資料,例如從內部部署資料中心轉移至公用雲端,或在雲端提供者之間進行轉移。
-
災害復原即服務
災害復原即服務可協助規模各異的組織透過具成本效益的雲端服務來複製自家系統,並在發生災難後恢復運作。它提供了雲端式技術的靈活性和可擴縮性,被視為是避免服務出現中斷狀況的有效解決方案。
資料探索與分類
資料探索和資料分類是各自獨立卻又相互搭配的程序,能提供組織資料的可見度。資料探索工具會掃描您的整個數位資產,來找出結構化和非結構化資料的所在位置,而這點對資料保護策略來說非常重要。資料分類會根據檔案類型、內容及其他中繼資料來整理資料探索過程中發現的資料、協助刪除重複資料,以及讓您輕鬆找到和擷取資料。
資料未受到保護,即容易遭受攻擊。了解自身所持有的資料以及資料存放的位置有助於您保護其安全,同時遵循有關資料程序和控制的法規合規性要求。
資料保護解決方案
資料保護解決方案有助於防止資料外洩,且涵蓋安全性、資料備份及復原項目,可為組織的災害復原計劃提供直接協助。
簡化組織了解自家敏感性資料的方式。了解所有資料、為應用程式、雲端及裝置提供更強大的保護,以及透過 Microsoft 安全性解決方案管理法規要求。
常見問題集
-
資料保護的範例包括抵禦惡意或意外傷害、制定災害復原策略,以及僅向需要資料的人員提供存取權。
-
資料保護的用意是要防止組織的資料遭人盜用、破壞及外洩。
-
GDPR 聲明個人在保護其個人資料方面具有基本的權利和自由。所有收集個人資料的組織皆必須取得個人明確的同意,且必須將資料的使用方式公開給大眾知道。
-
資料保護工具包括資料探索和庫存、加密、資料刪除、存取管理以及端點安全性。
-
為協助保護資料安全,企業可以著手開始制定安全性原則,並在其中定義核准使用和事件報告等事項。備份重要資料、將軟體更新至最新版本,以及對員工進行資料保護教育是其他應採取的重要措施。
關注 Microsoft 365