如何逐步执行数据风险评估

如今，大多数企业都将敏感数据列为最有价值的资产。这其中包括从个人记录到知识产权和其他专有信息的所有内容。

每家企业都需要保护其敏感数据的安全和隐私，以避免数据泄露、知识产权盗窃和其他可能导致罚款、诉讼以及业务失败。

一、什么是数据风险评估，为什么它很重要?

数据风险评估是对企业如何保护其敏感数据以及可能需要进行哪些改进的审查。

企业应该定期执行数据风险评估，作为审计的一种形式，可以帮助识别信息安全和隐私控制缺陷并降低风险。在数据泄露(无论是有意还是无意)之后，需要实施数据风险评估，以改善控制并降低未来发生类似泄露的可能性。

二、执行数据风险评估的5个步

可以使用以下五个步骤来创建全面的数据风险评估。

(1)存储敏感数据

检查端点、云计算服务、存储介质和其他位置，以查找和记录所有敏感数据实例。数据清单应包括可能影响风险要求的任何特征。例如，存储数据的地理位置会影响适用的法律法规。

确定谁负责每个敏感数据实例，以便可以在必要时与他们进行交互。

(2)为每个数据实例分配数据分类

企业应该为所有敏感数据定义数据分类，例如“受保护的健康信息”和“个人身份信息”。这些定义应表明对于每种敏感数据类型，哪些安全和隐私控制是强制性的和推荐的措施。

即使数据已经有了分类，也要定期重新检查。数据的性质会随着时间而改变，并且可能会出现适用于相关数据的新分类。

(3)优先评估哪些敏感数据

企业可能拥有大量的敏感数据，以至于在每次评估期间都审查所有数据是不可行的。如有必要，需要优先处理最敏感的数据、要求最严格的数据或未经评估的时间最长的数据。

(4)检查所有相关的安全和隐私控制

审计保护敏感数据使用、存储和传输的控制措施。其常见的审计步骤包括：