探索中国CIO人才现状 | 第四季调研报告
八步打造IT企业数据泄露计划
2016-02-05  来源:techtarget

当准备应对黑客攻击,CIO Jonathan Feldman参考公共安全专家的意见:因为他们接受过各种潜在场景的培训,虽然他们不能预测所有可能的情况。

“他们有一定的准备。他们有预案和计划,” Feldman说,他是北卡罗来纳州,阿什维尔市的CIO。

Feldman说,他的灾难恢复和业务连续性计划遵循同样的逻辑。因此,该计划包含应对各种事件的流程,包括数据泄露,尽管他的IT团队不能提前预知事件将如何演变。

Feldman的方法符合有关如何构成DR/BC计划的最新思想。一个灵活的数据泄露计划应考虑以下要点:

1. 首先进行风险评估。CIO和其他高管需要确定哪些业务部门最关键,这样他们就可以优先考虑修复和恢复哪些系统,David Phillips说,他是Berkeley Research Group LLC网络安全咨询部门总监。

2. 设置门槛。并非所有的数据泄露都会带来同级别的影响;一些泄露可能只会引起微小破坏。数据泄露计划应该设置门槛, 并与相应等级的响应相匹配, Damian Walch说,他是德勤咨询公司战略风险服务和恢复服务总监。

3. 确定优先级。 对于IT团队将如何确定哪些系统受到破坏,影响的范围,哪个系统是最重要的,因此需要优先关注,如何隔离和保护数据,以及破坏预计将持续多久,这些都需要细化,Walch说。

4. 构建灵活性。数据泄露计划应该是颗粒化,但模块化的,专家说。“你想建立的计划要具有灵活性,这样公司才能以最好的方式作出响应,”律师Melissa Ventrone说,她是Wilson Elser Moskowitz Edelman & Dicker LLP数据隐私和安全实践主管。

5. 确认每个人的职责。“每个人都应该知道他们在企业中的职责,”Phillips说。联系人手册应该列出每个部门的负责人,和联系信息,以及取证公司的名称(最好一个是随时待命,及时响应的,另外还有一个到两个备选公司)。

6. 考虑法律,法规条款。确立何时以及如何通知危机处理管理团队,确保遵守和数据泄露相关的法律和法规要求,以及公司的公关人员可以协助,并恰当地通知客户和消费者,Ventrone说。

7. 建立替代系统。一些公司已经有替代系统,随时待命,有一些则计划返回到手动流程,而其他公司则认为他们能够快速建立替代系统。 “IT需要有一个详细的计划,‘如果这个系统被破坏,如何在这个系统无法工作的情况下,继续企业的运作?’IT部门应该拿出方案,” Phillips说。

8. 进行演习。根据危机的具体类型设立模拟事件,包括数据泄露。每个企业必须确定是否需要外界的帮助来进行演习,多久演戏一次,测试哪些场景。但Feldman和其他人都认为,数据泄露计划要明确这些测试如何完成。 “这是不可替代的,演习并不是偶然发生的。他们是事先计划的,有优先级的,这意味着有资源支持,” Feldman说,他的企业定期进行演习。