26 views

ITAR合规性的数据安全最佳实践

By | 2018年12月4日

ITAR合规性的一般最佳实践
对于初学者,建议所有属于ITAR管辖范围的组织创建专用的,特定于ITAR的安全策略,并将其用作他们前进使用的任何数据安全实践的基础。应该承认,这不是您创建一次然后忘记的策略 – 组织需要及时了解ITAR的所有最新更改,以便他们可以调整其策略并继续保持合规性向前发展。

任何与ITAR相关的安全策略都应该包括物理和网络安全的规定,这意味着您需要同样考虑数据的物理存储方式,就像访问数据一样。

还建议任何与ITAR相关的安全策略都包含详细的事件响应计划,以帮助在发生违规时指导所有相关方。事实上,这是一般数据安全的最佳实践 – 事件响应计划可能意味着尽快恢复系统并重新运行,并遭受毁灭性虚拟攻击,即使是最强大的企业为了好。

数据分类和数据泄漏预防
ITAR合规性的其他最佳实践包括数据分类系统,以帮助指导您的业​​务恰好使用的任何数据泄漏防护实施。请记住,并非您处理的所有数据都必须保持ITAR兼容,这意味着保持受保护的关键包括了解哪种技术可用于哪种类型的数据。您的所有信息都应分为多个类别以便于识别,包括“公共使用”,“仅供内部使用”,“机密及更多”等内容。

您还应该了解您可能面临的情况类型以及它们如何可能使您违反ITAR。由于用户错误或其他疏忽导致的意外泄漏非常常见,因为错误可能会发生并且将会发生。制定一套严格的政策以帮助防止用户将数据带回家工作,意外地使用不安全的渠道发送数据等等,这一点非常重要。

ITAR合规性还要求所有各方保护组织内可能与外国合作的任何恶意内部人员。应始终采用分析工具和主动网络扫描,以尽快识别可疑活动。

最后,任何希望保持ITAR兼容性的组织也应该使用各种不同的加密方法来保护数据,无论数据发生在何处。静态加密可在数据存储在服务器,笔记本电脑或台式机硬盘,移动设备等时保护数据。即使在具有适当权限的人员访问数据时,使用中加密也可以保护数据免受窥探。传输时加密还有助于在通过电子邮件发送时保护所有符合ITAR标准的数据,当它是文件传输的一部分时,以及在其未在存储设备上闲置的其他情况下。

发表评论

电子邮件地址不会被公开。 必填项已用*标注