走出数据防泄密的七大误区

鉴于企业目前面临激烈的商业竞争和复杂的外部环境，不少企业管理者在了解了数据防泄密的必要性后也已经部署和实施了防泄密产品，有些企业也正在积极准备数据防泄密规划。

但是，企业在对防泄密项目的规划及部署上，还存在不少认知误区，这些误区或多或少的对于数据防泄密项目的规划及实施造成了困扰，严重的甚至影响到企业业务的运营。为了能让企业对防泄密项目有更清晰的认知，数据泄露防护领航者，北京亿赛通科技发展有限责任公司(简称：亿赛通)给我们总结了企业对数据防泄密的常见误区。

误区一：防泄密是IT部门的事情

数据防泄密工程在现实的情况中，往往都是由IT部门在主导和推动此过程，在讨论业务策略及系统方案实现上，往往最容易被忽视和出问题的正是这个环节，这可能导致产品部署后总是发生问题或者难以匹配业务变化的需求，IT部门和业务部门在过程中都成了受害者。亿赛通资深安全专家认为，数据防泄密项目中业务部门应作为主角充分参与，同时IT部门也应该就方案与业务部门充分商讨评估，双方也要就实施后的业务影响及风险进行二次评估，这样才能确保防泄密风险的处置。

误区二：规划部署跟着感觉走

目前很多企业都有数据防泄密的需求，但是我们也发现不少已经部署过数据防泄密产品的企业，自始至终都没有制定有效的书面数据防泄密政策和风险管理机制。没有建立数据防泄密政策，工作必然缺乏指引和方向，这也会导致业务部门和IT部门在数据防泄密项目部署时，往往都是跟着感觉走非常被动。部署防泄密产品前，需要清晰的了解数据是如何分级分类的，由谁负责以及如何使用保管，数据资产价值和保护现状如何，如何才能满足数据保护的合规要求，泄密事件的跟踪分析和处理过程，这些都是要在实施前就要充分考虑的问题。对于最终用户来讲，不知道哪些数据是重要的，不同密级的数据该如何执行保护，谁需要对数据安全管理负责，导致用户意识薄弱且执行力差。因此，我们建议企业在实施部署防泄密产品前，应当就上述问题充分调研并就自身特点形成书面的数据保护政策，确保防泄密产品部署的有效性和可执行性。

误区三：产品是数据防护的万能良药

对于安全管理而言，数据防泄密工作不仅仅需要安全产品来实现，更需要配套的安全管理手段来进行实施指引和规范，安全产品作为辅助管理目标落实的工具会起到重要的作用，但不能完全依赖产品而偏离管理目标。很多时候我们发现客户虽然部署了防泄密产品，实际上防护效果依旧不尽如人意，恰恰因为缺乏总体的数据安全管理政策和持续运维保障机制，使得防护效果未能达到预期效果，也未能完全发挥出产品的最大价值。因此数据防泄密项目管理规划在先，产品落实在后，只有双重手段保障才能体现投资价值的长久回报。

误区四：忽视员工保密意教育　　对于信息安全管理来讲，目前大多数企业都基本达成了如下共识，即人是信息安全管理工作中的最大风险，也是最核心的安全要素之一，而对于人员培训恰恰是很多企业和厂商执行数据防泄密项目时的盲点。我们认为在数据防泄密项目执行中，应该抓住契机，对人员进行信息安全意识培训及数据安全保密培训，使得员工充分认知保密的重要性，并了解如何数据保护信息，从而进一步强化员工的执行能力和责任感。

误区五：产品功能越多越便宜越好

往往部分企业对于产品的理念还停留在”产品功能越多越便宜越好”的阶段，目前市面上的防护产品有不同的实现层级及方式，彼此间差距较大，也增加了客户选型的难度。产品选型的过程中没有很好的匹配业务管理需要，而且对于产品在实际部署过程中的限制条件和制约因素缺乏评估过程。有很多失败的防泄密案例就是因为客户走入了这种误区，从而进一步加深了更多企业对防泄密项目信心的缺乏，所以理解这一点和产品不是数据防护的万能良药同样重要。

误区六：系统上线后便可高枕无忧

很多时候，企业对于已经发生的泄密事件没有进行更深入的调查，根本无从知晓数据是如何泄密的，更多是将问题定位于对数据的流转途径和方式没有更好的管控。正因如此，大多数企业关注的焦点一直停留在已知风险的处理上，而对于可能存在的未知风险往往视而不见，比如安全管理、流程、已有控制措施、人员教育等。这些风险很容易形成稳定的泄密渠道并逐渐扩散，正是这些视而不见的风险使得即使采取了技术手段，数据泄密事件依然层出不穷，使得数据防泄密工作更容易陷入被动局面。对此，亿赛通资深安全专家也建议企业对数据泄密的风险进行完整的风险评估，从而为有效控制泄密风险打下基础。

误区七：数据安全保护是一次性工作

数据防泄密工作要根据业务需要、组织调整、外部环境变化等因素适时的改变防御策略，以满足防泄密的需求，做好持续保护。现实中我们发现大部分客户都将数据防泄密项目看作是一次性工作，产品部署和项目实施后就不闻不问，对于实施后的风险没有有效的评估和管理，也没有形成一个长期的防泄密管理和保障机制，造成新的泄密隐患。所以要将数据防泄密工作看成长远的工作，必须建立相应机制，不断持续关注并优化防泄密工作。

综上所述，数据防泄密作为信息安全管理项目，除产品本身稳定成熟外，更需要关注实施方对于数据泄密风险及项目实施过程中风险的理解和把控能力，以及专业服务团队的能力和经验，对于一个成功的数据防泄密项目而言两者缺一不可。

以上是亿赛通公司在数据防泄密项目的经验汇聚，我们也希望本文章能帮助企业走出数据防泄密的误区，从而建立正确的数据防泄密规划工作，更好的为企业的数据防泄密工作打下良好的基础。