新思科技指出企業(yè)要更好地保護敏感數(shù)據(jù)，符合當(dāng)?shù)胤�律法�?guī)要求，就必須創(chuàng)建數(shù)據(jù)安全策略和框架，多部門協(xié)作共同保障數(shù)據(jù)安全。

　　歐盟數(shù)據(jù)保護指令（DPD）完善了個人數(shù)據(jù)在歐盟內(nèi)的處理的規(guī)范。加拿大《個人信息保護和電子文件法》（PIPEDA）規(guī)定了個人數(shù)據(jù)的使用權(quán)限。這些是最早一批頒布的隱私法。歐盟在2018年出臺的《通用數(shù)據(jù)保護條例》（GDPR）引起國際廣泛關(guān)注。

　　在中國，政府也頒布了相關(guān)法律法規(guī)。比如2017年正式實施了《網(wǎng)絡(luò)安全法》，旨在保障網(wǎng)絡(luò)安全，維護各主體網(wǎng)絡(luò)空間權(quán)益，促進經(jīng)濟社會信息化健康發(fā)展。另外，近日頒布的《數(shù)據(jù)安全法》有助于規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，維護各主體數(shù)據(jù)相關(guān)權(quán)益。而且即將在11月1日生效的《個人信息保護法》也將更加有效地保護個人隱私。

　　新思科技軟件質(zhì)量與安全部門高級安全架構(gòu)師楊國梁表示：“現(xiàn)在，政府和企業(yè)都在推進數(shù)字化、智能化及云化轉(zhuǎn)型，安全需求不斷升溫，對網(wǎng)絡(luò)安全行業(yè)的重視程度也在持續(xù)提升。各方都需要加強數(shù)據(jù)安全技術(shù)的應(yīng)用。”

　　企業(yè)必須首先創(chuàng)建符合其業(yè)務(wù)需求的數(shù)據(jù)戰(zhàn)略和建構(gòu)。這對于那些以用戶數(shù)據(jù)作為其業(yè)務(wù)戰(zhàn)略的一部分的企業(yè)來說尤為重要。這需要企業(yè)建立并協(xié)調(diào)主要指標(biāo)和目標(biāo)，用于監(jiān)管合規(guī)、數(shù)據(jù)安全治理、支持IT戰(zhàn)略和預(yù)估風(fēng)險等。

　　其次，企業(yè)須進行數(shù)據(jù)查找和分類，明確訪問權(quán)限，并在企業(yè)的生命周期內(nèi)管理數(shù)據(jù)集。數(shù)據(jù)分類需要注意文件、數(shù)據(jù)庫和電子郵件的敏感度；而訪問權(quán)限則規(guī)定哪些群體或個人被授予訪問權(quán)。類似地，應(yīng)用需根據(jù)程序內(nèi)數(shù)據(jù)的關(guān)鍵程度，以及它們是面向外部/內(nèi)部，或云管理等進行分類。

　　此外，應(yīng)由企業(yè)內(nèi)不同團隊制定合理的數(shù)據(jù)安全政策和充足的執(zhí)行資源，并經(jīng)執(zhí)行管理層批準。在戰(zhàn)略敲定后，企業(yè)應(yīng)選擇有助于確保數(shù)據(jù)和應(yīng)用安全的安全工具、產(chǎn)品和服務(wù)。

　　首席信息安全官（CISO）的主要職責(zé)之一是保護其公司的重要數(shù)字資產(chǎn)，包括企業(yè)知識產(chǎn)權(quán)，例如轉(zhuǎn)悠源代碼和其它專利技術(shù)和機密信息。隨著數(shù)據(jù)隱私條例陸續(xù)頒布，CISO還需要保護用戶數(shù)據(jù)，包括個人身份信息、健康信息、支付卡數(shù)據(jù)等。

　　這些新頒發(fā)的法律法規(guī)加強了對用戶數(shù)據(jù)的使用和保留的限制。這需要企業(yè)保護用戶數(shù)據(jù)和其在內(nèi)部及與處理這些數(shù)據(jù)的第三方供應(yīng)商的使用。CISO 需要與不同崗位的同事協(xié)作，包括數(shù)據(jù)保護、IT 基礎(chǔ)設(shè)施、合規(guī)性和軟件開發(fā)部門等，以確保遵守數(shù)據(jù)保護和隱私法律、標(biāo)準和指南。此外，混合云和多云服務(wù)的出現(xiàn)和采用為數(shù)據(jù)安全帶來了新的挑戰(zhàn)。諸如數(shù)據(jù)的地理來源、存儲位置和用戶訪問位置點等因素也進一步使數(shù)據(jù)保護變得復(fù)雜。因此，服務(wù)提供商和主要云基礎(chǔ)設(shè)施提供商需要采取更多、更有效的舉措以保護數(shù)據(jù)。

　　了解應(yīng)用安全如何與數(shù)據(jù)和隱私保護聯(lián)系起來至關(guān)重要。越來越多行業(yè)正在數(shù)字化轉(zhuǎn)型，企業(yè)也不得不將業(yè)務(wù)數(shù)字化，并且要比競爭對手更早行動以獲得新客戶和留住客戶。在金融服務(wù)行業(yè)、醫(yī)療保健和電子商務(wù)/零售細分市場尤其如此，移動和 Web 應(yīng)用程序和網(wǎng)站的使用量顯著增加。然而，這些網(wǎng)站和應(yīng)用也可能成為黑客的攻擊媒介。黑客利用它們作為進入企業(yè)數(shù)據(jù)庫的入口，其中包含可以在暗網(wǎng)上貨幣化的敏感用戶數(shù)據(jù)。

　　從安全和系統(tǒng)工程的角度來看，新系統(tǒng)的軟件安全服務(wù)、架構(gòu)分析和威脅建模同樣重要。CISO 應(yīng)與其軟件應(yīng)用開發(fā)、第三方應(yīng)用采購和系統(tǒng)工程的負責(zé)人合作，以更好地保護敏感數(shù)據(jù)免受網(wǎng)絡(luò)攻擊。數(shù)據(jù)泄露可能導(dǎo)致高昂的代價。

　　楊國梁總結(jié)道：“雖然大家討論得較多的是數(shù)據(jù)安全，但數(shù)據(jù)安全與否其實是一種結(jié)果。歸根結(jié)底，數(shù)據(jù)不夠安全的原因在于處理這些數(shù)據(jù)的應(yīng)用軟件在設(shè)計或?qū)崿F(xiàn)上有明顯的缺陷，被攻擊者利用，而導(dǎo)致數(shù)據(jù)被竊取。在代碼層面進行安全檢測，甚至在設(shè)計階段就引入安全屬性，是為了從源頭上盡量規(guī)避、解決這類問題，把風(fēng)險問題控制在產(chǎn)品推出市場之前。這也就是我們常說的安全‘左移’，在軟件開發(fā)早期就確保安全。”