建立資料安全專業

本文協助資安與技術團隊建立並現代化一套資料安全領域,幫助組織保護資料無論在何處被創造、儲存、處理、分享或使用,同時促進協作、分析、雲端服務及人工智慧的採用。

資安學科 是相關安全工作的組合,幫助組織在整個技術領域持續提供安全成果。 在安全採用模式中,學科協助搭建 商業場景技術實施之間的橋樑,確保安全投資轉化為實際可衡量的成果,作為 安全採用模型的一部分。

為什麼要選擇這種紀律

數據是現代組織的命脈。 它支撐著企業營運、決策與創新,同時也是攻擊者最珍貴的資產之一。

傳統以網路為中心的資料保護方法,在使用雲端服務、加密、行動裝置及分散式協作的環境中已不再足夠。 現代資料安全範疇已超越邊界控制,轉向以身分識別為基礎、以生命週期為基礎的保護方式,並與業務價值和風險保持一致。 若缺乏有效的資料安全,組織將面臨重大商業風險,包括:

  • 員工使用雲端服務、個人裝置及人工智慧時,無意中暴露資料。
  • 針對敏感資訊的惡意內部活動。
  • 威脅行為者在分散式環境中繞過基於邊界的控制。
  • 勒索軟體與勒索攻擊擾亂營運。
  • 監管處罰、聲譽損害,以及——在某些產業——生命安全影響。

專門的資料安全領域提供必要的結構,以降低這些風險,同時促進組織內安全且高效的資料使用。

使命與成果

資料安全領域的使命是保護資料資產在其生命週期中的機密性、完整性與可用性,促進安全的業務運作與明智決策。

成熟的資料安全學科能帶來以下核心成果:

  • 資料機密性:確保只有授權使用者和系統能存取資料。
  • 資料完整性:防止未經授權的資料變更或損壞。
  • 資料可用性:確保授權使用者在需要時能取得資料。

若未能達成這些結果,可能導致資料竊取與濫用、擾亂業務運作、助長詐欺、暴露受管制資料,甚至對人造成身體傷害。

當你建立明確的所有權、分類與保護策略時,資料安全將成為推動業務成果的推動力,而非限制。

CIA三位一體圖示,說明機密性、完整性與可用性作為核心資料安全原則。

要有效應用資料安全領域,應著重建立一套一致的保護方法,根據資料的敏感度與業務影響:

  1. 制定符合企業優先事項與風險的資料保護策略
    建立明確的方法,根據資料的價值及暴露或濫用風險來識別、分類及保護資料。
  2. 在資料生命週期中持續套用保護
    確保資料無論其存放、移動或使用地點,包括跨裝置、應用程式及雲端環境,皆受到保護。
  3. 建立標準化的資料保護政策與控管
    提供明確指引,確保敏感資料在組織內以一致且安全的方式處理、存取與分享。
  4. 將資料保護與關鍵業務資產及情境對齊
    優先保護高價值及受規範資料的控管措施,特別是在保護關鍵資產及促進安全協作等情境下。
  5. 持續監控並提升資料保護
    利用資料使用、風險訊號及安全事件的洞察,優化防護措施,降低資料外洩或遺失風險隨時間推移。

管理變革

傳統資料安全方法通常依賴單一控制點,例如基於網路的資料遺失防護(DLP)。 此模型在現代環境中無效,因為它:

  • 僅在資料生命週期的有限階段運作。
  • 必須在一刻內完美平衡保護與生產力,
  • 當資料被加密、透過雲端服務分享或在個人裝置上存取時,會失敗。

此圖總結了利用現代資料安全方法所克服的挑戰。

資料安全生命週期示意圖,突顯各階段的挑戰,包括建立、儲存與傳輸。

現代資料安全學科專注於整個資料生命週期中的持續可見性與控制。

主要重點領域

現代資料安全策略強調:

焦點 詳細資料
優先排序關鍵資料 先保護最關鍵的業務資料。
協作、覆蓋、能見度 跨業務協作,全面掌握裝置、應用程式與雲端的結構化與非結構化資料,避免資料孤島。
探索資料 了解資料存在的位置,以及它們的價值或敏感度。
分類資料 套用一致的標籤,讓安全控管能自動套用。
生命週期保護 無論地點、技術平台、裝置或環境如何,都能保護資料安全。

將此策略應用於資料的整個生命週期: 建立消費儲存分享處理。 保護資料在建立和產生期間、靜態儲存時、存取、分享或使用期間,以及傳輸過程中的安全,也涵蓋已不再使用、已封存或已刪除的資料。
監控與執法 實施即時可視化與自動執法,以偵測並回應即時未經授權的存取或外洩。
學習與進步 持續提升資料安全。 隨著資料格式、平台與使用情境(包括 AI)演變,調整策略與資料控制。

此方法能隨著業務與技術變革而擴展保護。

此圖示展示了一套高層次的資料安全策略,能同時提升安全性與生產力。

資料安全策略示意圖,展示零信任基礎、企業協作及資料生命週期階段。

此圖中:

  • 零信任 基金會以虛線表示,建立了現代身份邊界及內部功能與外部環境間的資料遺失防護。 此基礎防止未經授權的資料遺失,並促進與授權外部單位的協作。
  • 企業協作環境(以淺綠色標示)是大部分組織資料的建立、處理與儲存之地。 限制只限內部使用者存取,並預設設定最低權限。
  • 關鍵應用程式與資料(深綠色)代表組織中最敏感的資料,必須限制於有限的授權使用者與應用程式。 你可以在企業協作環境中與部分授權的外部單位分享這些資料,但必須始終受到保護與監控。

學科角色與合作者

資料安全需要業務、安全與技術團隊間的密切合作。 在較大的組織中,角色通常會分散並正式化;在較小的組織中,職責可能會合併。

此領域的主要職務通常包括:

  • 資料專員/資料治理團隊
  • 資料與人工智慧架構師
  • 資料與人工智慧工程與營運團隊

主要合作夥伴包括:

  • 企業領導者與資料擁有者 ——定義資料價值、使用情況與分類。
  • 資安策略與治理團隊 ——定義政策、標準與監督。
  • 架構職務 – 將資料安全控制整合進系統與平台設計中。
  • 開發者 – 在應用程式中實作安全的資料處理。
  • 資安相關的領域——將資料安全與隱私、風險及合規工作相結合。

與其他學科的對齊

資料安全學科與其他學科密切合作:

  • 存取與身份學科——身份與存取政策決定誰可以存取資料。
  • 安全架構學科 ——架構定義了保護資料的端到端模式。
  • 安全作業(SecOps)領域 ——偵測並回應與資料相關的事件。
  • 安全態勢紀律 ——衡量並提升資料保護的成熟度。

隨著資料責任擴大,明確的擁有權與共同責任至關重要。

與技術支柱的對齊

資料會跨系統、使用者與環境流動。 因此,資料安全領域涵蓋所有技術支柱。

零信任基礎圖,包含企業協作、關鍵資料與技術支柱的層次。

相應的技術支柱包括:

  • 身份:資料安全依賴身份安全控制,透過強的身份與存取控制來強制安全存取資料。
  • 端點:資料安全依賴端點安全控制,以防止資料被入侵或未受管理的裝置竊取。
  • 基礎設施:資料安全依賴基礎設施安全控管,以保護儲存或處理於伺服器、容器及雲端平台的資料。
  • 應用程式:資料安全依賴應用程式的安全控制,確保應用程式能安全存取並處理敏感資料。
  • 資料:資料安全依賴資料安全控制,以發現、分類、保護及監控資料的整個生命週期。 - 網路:資料安全依賴資料安全控制,協助發現並保護系統間傳輸的資料。
  • 人工智慧:資料安全依賴人工智慧安全控制來保護用於訓練、分析及產生人工智慧輸出的資料。

下一步

Microsoft Unified 提供專家主導的工作坊,協助組織加速安全態勢管理策略、架構與技術的現代化。 這些工作坊包括:

  • 架構與策略工作坊 ——安全採用框架資料安全工作坊聚焦於資料安全現代化。 此工作坊以不到四小時的討論形式提供,重點介紹關鍵學習與最佳實務。

  • 技術採用工作坊 - Microsoft Unified 提供工作坊,協助組織學習、規劃、實施及優化資料技術的使用。

Microsoft 存取與身份技術採用統一工作坊示意圖,顯示關鍵階段與活動。

  • Last updated on