資料保護
透過適當的管理程序與工具以避免資料的非授權流出,減輕資料外洩的影響,確保隱私與敏感資料的完整性。
為什麼這是關鍵控制項目?
數據存放在許多地方。通過應用加密;完整性保護以及數據遺失防護技術的整合,可以達成最佳保護數據。隨著組織繼續朝向雲計算和行動存取邁進,重要的是要採取適當的措施來限制與報告數據洩漏,同時減輕數據洩露的影響。
有些組織沒有仔細的識別與隔離其內部網路上最敏感和最關鍵的資產以及不太敏感;可公開存取的資訊。在許多環境中,內部用戶可以存取所有的或大多數關鍵資產。敏感資產還包括提供實體系統管理和控制的系統(例如,SCADA具有系統監控和資料擷取功能的軟體)。一旦攻擊者進入這樣的網路,他們就可以輕易地找到並洩露重要資訊;造成實體損壞;或者在幾乎沒有阻力的情況下中斷運營。例如在過去兩年中的一些引人注目的漏洞中,攻擊者能夠存取存儲在同一伺服器上的敏感數據,其存取層級與重要性較低的數據存取相同。還有一些使用存取企業網路來取得存取;然後控制實體資產並造成損害的案例。