---包括OSG 5 章---
我们在网络安全领域的工作,核心在于围绕资产构建全面的安全防护体系,确保每一项资产都得到良好的管理与控制。
第5章、保护资产安全
1、数据和资产分类的重要性。
数据所有者负责维护数据和资产分类,并确保数据和系统被正确标记。此外,数据所有者明确了对不同分类数据的保护要求,比如对静态和传输中敏感数据进行加密。数据分类迫常仵安全策略或数据策略中定义。
2、 PII Pill 定义。
个人身份信息(PII) 是能够识别个人的任何信息。受保护的健康信息(PHI) 是特定人员的任何与健康相关的信息。许多法律法规要求保护 PII PHI
3、 如何管理敏感信息。
敏感信息可以是任何类型的分类信息,适当的管理有助于防止未经授权的泄露导致保密且被破坏。正确的管理包括对敏感估息的标识、处理、存储和销毁。 组织经常遗漏的两个方面是:充分保护保存敏感信息的备份介质,并在其生命周期结束时对介质或设备进行净化。
4、 数据的三种状态。
数据的三种状态是静态、传输中和使用中。静态数据是存储在系统硬盘或者外部介质等介质上的任何数据。传输中的数据是通过网络传输的任何数据。加密方法可以保护静态数据和传输中的数据。使用中的数据是指应用程序所使用的内存或临时存储缓冲区中的数据。应用程序应在不再需要数据时刷新内存缓冲区以删除数据。
5、 定义 DLP 。</