部署数据安全防御

部署数据安全防御
作者: 焦方红,博士.D.,注册会计师
发表日期: 2020年8月31日

数据安全一直是重中之重, 但COVID-19大流行使其更加突出. 在一个 来自ISACA的COVID-19研究, 百分之八十七,700名受访者表示,向远程工作的快速过渡增加了数据保护和隐私风险, 只有一半的人表示,他们的安全团队为日益增多的网络安全攻击做好了准备. 尽管欧盟成员国近年来已经适应了通用数据保护条例(GDPR), 许多国家还没有任何解决数据安全问题的国家法规. 然而, 有一个重要的资源来部署你的数据安全防御:2013年特雷德韦委员会(COSO)内部控制综合框架的赞助组织委员会.

有效实施2013年COSO内部控制综合框架的五个要素有助于运营, 报告并遵守数据安全. 部署数据安全防御, 组织必须建立控制环境, 评估风险, 实施控制活动, 配置信息和通信系统, 并监控现有活动.

The COVID-19 pandemic has created new risk to data security; however, 数据安全的基本原则没有改变. 需要建立一个控制环境来解决数据安全的重要性, 特别是随着远程访问敏感数据的流行. 控制环境要求管理层对数据安全领域的完整性和道德规范做出承诺. 需要评估新的风险因素,以匹配实体的风险偏好, 是否接受, 避免, 减少或分担风险.

现有的控制活动应该结合多层防御的深度防御方法和基于时间的模型,以便有更多的响应时间来阻止黑客. 预防性控制应包括用户访问控制等程序, 加密和散列, 社会工程控制. 检测控制应该包括日志分析和渗透测试等活动. 纠正控制应包括有一个有效和高效的响应小组和补丁管理人员. 实体还应该有一个信息和通信系统,配置以适应数据安全需求. 监控活动是强制性的,以便为数据安全实践的改进提供评估和反馈.

编者按:
要进一步了解这个话题,请阅读Jason Fanghong Jiao最近在《澳门赌场官方软件》上发表的文章, “部署数据安全防御” ISACA学报,第4卷,2020.

ISACA杂志