电子邮件是许多小型企业依赖的重要通信资源,用于在组织内外发送敏感的机密信息。
但是,电子邮件作为商业工具的普及也使其容易受到利用和数据丢失。事实上,根据网络安全公司AppRiver的一份白皮书,电子邮件占企业所有数据丢失事件的35%。
$config[code] not found数据泄露并不总是恶意活动的结果,例如黑客攻击。大多数情况下,它们是由于简单的员工疏忽或疏忽而发生的。 (根据富国银行的一份白皮书,员工是与安全有关的事件的主要原因。)
2014年,保险经纪公司Willis North America的一名员工不小心通过电子邮件将包含机密信息的电子表格通过电子邮件发送给参加公司医疗计划健康奖励计划的员工。因此,Willis必须为受到破坏影响的近5,000人支付两年的身份盗窃保护费。
另一方面,同样从2014年开始,圣地亚哥Rady儿童医院的一名员工错误地向求职者发送了一封包含超过20,000名患者的受保护健康信息的电子邮件。 (该员工认为她正在发送培训文件来评估申请人。)
医院向受影响的个人发送了通知信,并与外部安全公司合作,以确保删除数据。
这些以及许多其他此类事件都指向电子邮件的漏洞,并强调大小企业需要在任何地方发送,控制和跟踪邮件和附件。
以下是AppRiver的五个步骤,小型企业可以遵循这些步骤来简化开发电子邮件合规性标准以保护敏感信息的任务。
电子邮件合规指南
1.确定适用的法规和您需要做的事情
首先询问:哪些法规适用于我的公司?证明电子邮件合规性有哪些要求?这些重叠或冲突吗?
了解适用的法规后,确定是否需要不同的政策来涵盖这些法规,或者只需要一个全面的政策。
小企业遇到的示例规则包括:
- 健康保险流通与责任法案(HIPAA) - 管理个人可识别的患者健康信息的传输;
- 萨班斯 - 奥克斯利法案(S-OX) - 要求公司建立内部控制,以准确收集,处理和报告财务信息;
- Gramm-Leach-Bliley法案(GLBA) - 要求公司实施政策和技术,以确保客户记录在传输和存储时的安全性和机密性;
- 支付卡信息安全标准(PCI) - 要求持卡人数据的安全传输。
2.确定需要什么保护和设置协议
根据贵公司的规定,识别被视为机密的数据 - 信用卡号,电子健康记录或个人身份信息 - 通过电子邮件发送。
此外,决定谁应该有权发送和接收此类信息。然后,设置可以通过使用技术强制执行的策略,以基于用户,用户组,关键字和其他将传输数据识别为敏感的方式加密,存档甚至阻止电子邮件内容的传输。
3.跟踪数据泄漏和损失
了解用户通过电子邮件发送的数据类型后,跟踪以确定是否正在发生丢失以及以何种方式发生丢失。
违规行为是在企业内部还是在特定的用户群体内发生的?文件附件是否泄露?设置其他策略以解决您的核心漏洞。
4.确定实施政策所需的条件
拥有正确的解决方案来执行您的策略与策略本身一样重要。为了满足法规要求,可能需要多种解决方案来确保电子邮件合规性。
组织可以实施的一些解决方案包括加密,数据泄漏防护(DLP),电子邮件归档和防病毒保护。
5.教育用户和员工
有效的电子邮件合规性政策将侧重于用户教育和政策执行,以便可接受使用。
由于无意的人为错误仍然是导致数据泄露的最常见原因,因此许多法规要求对用户进行可能导致此类违规行为的培训。
当用户和员工理解正确的工作场所电子邮件使用情况以及不合规的后果并且使用适当的技术时,他们就不太可能放松警惕并犯错误。
虽然没有“一刀切”计划可以帮助小型企业遵守所有法规,但遵循这五个步骤可以帮助您的企业制定有效的电子邮件合规性政策,以保障安全标准。
通过Shutterstock发送电子邮件照片
1评论▼