1、通過按優先順序排列數據以最大限度地利用資源和作出正確的決策: 任何數據丟失都可能對企業的聲譽造成嚴重影響。以數據為中心的漏洞管理方法能夠幫助企業避免破壞性安全事故的發生,解決信息安全合規需求和控制安全總成本。企業應該分配壹定資源來修復漏洞,幫助保護最重要的數據、企業及其聲譽。關鍵數據可以包括客戶名單、商業計劃、商業機密和信息安全標準和法規上規定的其他重要信息。
3、需要進行全面的持續的數據評估: 根據Verizon的數據泄露調查報告,在安全事故和受害人缺乏對其操作環境(尤其是對於信息資產的存儲和狀態)的了解之間存在很強的聯系。所以我們認為知道妳的數據在哪裏能夠幫助妳預防這些類型的安全泄露事故。安全評估計劃應該要有壹個"自上而下"的組件來檢查數據保護的情況,還有壹個"自下而上"的組件來檢查已經部署的措施的情況。
4、必須考慮所有數據點: 威脅和漏洞評估方法應該擴大到所有端點以及所有形式的數據保護:1)業務路徑:代表數據的生命周期;2)技術路徑:數據滿足業務需求的路徑;3)物理路徑:確認位於業務路徑和技術路徑以外(例如打印內容和移動媒體)的數據情況。
5、安全計劃應該保護所有形式的數據: 傳統的安全評估可能只考慮了數據安全的壹部分,可能錯過了可能泄露數據的明顯的漏洞。安全計劃應該能夠體現壹系列保護數據的政策和標準。例如確定企業內所有權和管理責任的數據分類政策,以及涵蓋數據保存和銷毀的政策和標準等。
IT領導者和安全領導者需要做出明確的決定來促使企業努力靠近其業務目標,以數據為中心的漏洞管理方法讓企業更加接近業務,這種方法能夠幫助企業避免安全泄露事故、維護聲譽和遵守信息安全法規,以及控制整體安全成本。