这一数据政策对我的游牧小企业来说足够了吗？

Question

这也许是个不合适的地方，但我想我应该试一试:我对数据安全一无所知，在过去几周里我一直在努力教育自己，我已经为我正在创办的小型企业制定了一项数据安全政策/协议。我面临的主要障碍是，我在没有安全网络的情况下创办这家公司，因为我正在远程工作，并且在接下来的几个月里都在旅行。

在政策出台之前，只需提供一些关于小型企业的信息:它是一家从事数据分析、可视化、数据管理和处理的小型企业(1-3名员工)。我们将要处理的数据可能非常敏感，但它不需要符合HIPAA (此时)。

这是政策草案..。

如何安全地将您的数据发送给我们我们建议您通过我们使用的安全文件传输服务发送您的数据文件。该文件传输服务符合多州和联邦隐私法规，包括HIPAA，PCI和欧盟-美国隐私盾。该系统在SSAE16和SAS70认证的数据中心上使用256位加密.所有数据在固定和短时间内使用专有删除过程后都会从系统中删除。更多信息可以在文件传输服务提供商的网站(SendThisFile.com)上找到。在收到您的数据后，我们如何安全地存储您的数据，我们暂时将您的文件保存到一个完全加密的计算机系统上的加密文件夹中。然后，该系统将与互联网断开连接，您的数据将被传输到一个高度安全的外部硬盘驱动器上，该硬盘由256位AES硬件加密和蛮力自毁功能保护。接下来，我们使用覆盖实践永久地从服务器中删除您的文件，以确保它们确实不可恢复。在分析数据时，我们如何保证您的数据安全，在连接到加密的外部硬盘驱动器之前，我们将计算机系统与互联网断开。所有临时和永久数据文件都指向加密的外部硬盘驱动器。当我们安全地将您的数据和结果发送回您的结果或重新格式化的数据时，我们会将文件从加密的外部硬盘驱动器保存到完全加密的计算机系统上的加密文件夹中。硬盘断开，我们的服务器重新连接到互联网，您的信息通过安全文件传输服务发送。一旦您的数据被发送，我们将永久地从计算机系统中删除您的数据文件。一旦您的项目完成，我们将保留您的数据在我们加密的外部硬盘驱动器一个月，或一个预先确定的时期，在我们永久删除您的文件从我们的加密硬盘驱动器。作为一种附加的安全性，我们如何保护我们的通信，我们发送的所有电子邮件，包括电子邮件附件，都是通过Tutanota端到端加密保护的。

Answer 1

这是相当详细的，但它只关注数据的处理，而不是一个全面的安全策略。明显的直接遗漏是时间框架：“暂时”或“短时间”是你向客户承诺的时间？对你来说，暂时可能意味着当你度假回来的时候，一个星期；对你的客户来说，这意味着不超过5分钟。它也没有提到客户隔离:客户端A的数据是否可以与客户端B的数据在同一个系统上进行处理？他们能不能混在一起，让客户A看到客户B的一些信息？

但它真正缺少的是构成安全策略的大多数其他东西。这些是您的组织为构建完整的安全图景而承诺提供的其他注意事项。这包括修补计算机、网络安全和监视(包括入侵检测系统和防火墙)、基于风险的决策、审计跟踪、持续改进、事件检测和响应、备份和灾难恢复、反病毒工具、安全配置管理、加密密钥生命周期、角色和责任、身份和访问管理、安全合同评审，以及持续不断的列表。

当有人想要建立一个新的安全策略时，我建议他们至少看看NIST网络安全框架。这是一个需要考虑的全面清单，包括在安全策略中。

在开始工作时，您当然不需要将框架的每一滴内容都写入策略中。你不应该尝试，因为你还不知道你需要保护的所有系统和架构，你还没有经验到你将要面临的风险。但是，您至少应该阅读附录A中列出的功能类别，并选择那些对处理您最初确定的风险最有意义的部分。在您的安全策略初稿中包含的最重要的事情可能是安排一次年度审查。到明年的这个时候，你将对你的业务和风险有更多的了解，并且你可以在那个时候开始深思熟虑地增加你的业务和风险。