數(shù)據(jù)顯示，目前企業(yè)組織每年在數(shù)據(jù)安全防護上投入的資金已經(jīng)超過千億美元，但數(shù)據(jù)泄露事件依然在持續(xù)增長。研究人員通過對大量數(shù)據(jù)安全事件的調查發(fā)現(xiàn)，其原因在于企業(yè)將更多資源投入到建立更高更厚的“城墻”，卻忽視了這些工作本身的科學性與合理性。

因此，企業(yè)在實施數(shù)據(jù)安全保護工作之前，需要首先制定積極、有效的數(shù)據(jù)安全防護策略，并按策略要求指導數(shù)據(jù)安全防護能力建設，這對保障數(shù)據(jù)安全防護效果至關重要。一份高質量數(shù)據(jù)安全策略的價值，將會體現(xiàn)在以下兩個方面：

1. 可以明確組織如何管理其數(shù)據(jù)資產(chǎn)的計劃與規(guī)則，這確保所有員工清晰了解各自在訪問和保護業(yè)務數(shù)據(jù)方面的責任和義務。

2. 可以證明組織符合政府監(jiān)管部門的合規(guī)要求以及行業(yè)數(shù)據(jù)隱私及安全標準，比如ISO 27001、ISO 27002、《通用數(shù)據(jù)保護條例》（GDPR）以及我國的《網(wǎng)絡安全法》等。

為了更好地保護企業(yè)數(shù)據(jù)安全投資，安全人員應該更好地理解和診斷自身數(shù)據(jù)安全盲點。在制定和實施數(shù)據(jù)安全策略之前，應重點關注以下幾個關鍵要素是否已經(jīng)具備：

1、范圍

要明確列出數(shù)據(jù)安全策略的關鍵性原則，以及策略實施后的適用對象和應用范圍。

2、責任

要明確劃分各環(huán)節(jié)的人員與責任，列出誰來具體負責管理、升級和維護該策略的關鍵要素和應用準則。

3、目標

要能夠清晰展示這份策略的制定理念和實施目標。

4、戰(zhàn)略和重心

要闡明實現(xiàn)目標的主要戰(zhàn)略以及所要遵守的相關IT安全法規(guī)、框架和標準。

5、策略

要概述策略和任何相關流程，以及將如何解決策略違規(guī)和更新。

6、附加策略

除了基礎性要求，還應該列出可能適用于數(shù)據(jù)安全策略的其他策略及其適用條件，這可能包括數(shù)據(jù)分類、終端用戶統(tǒng)計、訪問管理和可接受使用策略等。

7、執(zhí)行管理和審查

要明確規(guī)定誰來負責執(zhí)行策略，同時還要對策略執(zhí)行情況進行審查，保證策略的有效實施。

圖：數(shù)據(jù)安全管理策略的協(xié)同關系邏輯

企業(yè)在完成數(shù)據(jù)安全策略所需的要素準備后，就可以著手制定數(shù)據(jù)安全防護策略。一份穩(wěn)定有效的數(shù)據(jù)安全保護策略應該符合以下應用要求：

?數(shù)據(jù)安全策略應該由能夠解決與數(shù)據(jù)安全相關的運營、法律、合規(guī)及其他問題的團隊來牽頭負責制定。

?明確企業(yè)內(nèi)各部門的數(shù)據(jù)安全需求，數(shù)據(jù)安全策略應該與業(yè)務人員對數(shù)據(jù)的使用需求保持一致。

?數(shù)據(jù)安全策略應得到公司管理層的支持，并確保企業(yè)中的所有員工統(tǒng)一遵守。

?有合適的技術手段，來保障訪問管理和數(shù)據(jù)保護的策略目標達成。

?針對可能發(fā)生的數(shù)據(jù)泄露及其他安全事件，要有應急處置的手段和程序，比如數(shù)據(jù)備份與恢復等。

?對策略的有效性進行測試和驗證，保證數(shù)據(jù)安全協(xié)議和訪問控制措施能夠正常執(zhí)行；。

?將數(shù)據(jù)安全與其他網(wǎng)絡安全保護工作相結合。

?積極開展安全意識培訓，確保員工、合作伙伴了解策略及各自的職責。如果未遵守策略要求，將受到相應的違規(guī)處罰。