进行一次影响评估 以申请安全资金

对个人识别数据（PII，personally identifiable information）的保护是一项重大责任。正如其名所暗示的那样，PII是任何有关于个人，且可以被用于追踪或者识别此人的相关信息。PII包括了教育记录，金融交易，用药历史，受雇历史，以及很多其他信息等等。

这些日子以来，PII可是一个大生意。不仅仅是因为它是类似HIPAA这样主要立法数据的一部分，而且因为它也是一些大公司中某些恶劣PR记录的起因所在。不过不要误会——PII之所以会影响你的公司，其实和你公司的大小无关。

你公司的客户和雇员们必须信任你，认为你有能力保护他们的PII；而任何类型对于该数据的处置失当，将直接侵蚀他们的这种信任。那么或迟或早，失去信任最终将导致失去客户。

这就是为什么你要采取相关措施来保护公司之中PII数据的直接原因。否则你能做的最后一件事情，就是去通知客户们，他们的数据丢失了，或者受到了损失。而制定一个有关保护个人识别数据（PII）的综合计划，则是你第一步需要着手完成的事情。

在你开始寻找一个会大幅消耗公司的人力，物力，以及财力的安全方案之前，记得先完成你的家庭作业——执行一次影响评估，以确认如果发生PII损失，或者丢失了PII之后，可能会造成的金融后果，以及调整的后果。然后你可以将这份报告呈报给掌握安全防护资金调配的人审阅，从而为你的防护个人识别数据计划争取到相应的资金预算。

要进行一次影响评估的话，需要进行下述步骤：

1.确认所有包含个人识别信息的公司数据——你总不能连要保护的东西在哪里都不知道吧。制定相关程序，以指定被认可的有关数据电子存储的位置，并在必要时将数据移动到被认可的存储位置之中。

2.根据丢失或者泄露数据所造成的影响级别不同，而分别对PII数据进行评估和分离。要特别留意，泄露员工记录所造成的影响，和泄露客户记录是完全不同的。

3.制定并部署一个计划，对所有的PII数据进行加密，以保证数据的机密性。在系统将这些数据写入所有的硬盘，磁带，以及可移动媒体时，应当自动对数据进行加密。该加密应当满足或者超出正常的要求。

4.制定一个策略和程序，以确定谁可以存取这些数据。

5.制定一个策略和程序，以确定人们如何存取这些数据。比方说，移动设备是否可以存取这些数据？这些数据是否远程可用？该移动设备/远程设备是否归公司所有，或者是归个人使用？谁来批准本地或者远程的存取要求？

6.建立丢失或者怀疑数据丢失的事件系列。如果你的确丢失或者泄露了PII数据，那你最好在事情发生之前就已经有了如何应对的相关计划。

在已经了解了你到底在保护什么数据，并对如何保护它有了很迫切的想法之后，你应当做一次风险评估。这个评估将会展示出这些数据在不同的方式下所面临的风险，并能同时指导你如何去削减这些相应的风险。

结语

个人身份识别数据对于身份欺诈犯罪来说是高度优先的目标，同时也是黑帽子们吹嘘攻破公司安全措施的炫耀资本。而对个人数据的防护，则应该是你事先要解决好的事情，而不是等待损失发生之后才想起来要做的事情。虽然你现在不会在新闻里看到自己公司的安全策略，但是如果你没有解决好这些事情，我打赌你迟早会在新闻里读到贵公司对于安全防护措施方面缺失的内容。