個(gè)人身份信息 (PII) —新聞中，這6個(gè)字常掛在安全部門人士的嘴邊，隨著不少機(jī)構(gòu)出現(xiàn)數(shù)據(jù)外泄事件，“個(gè)人身份信息”一詞出現(xiàn)的頻率日益頻繁。

數(shù)據(jù)泄漏的出現(xiàn)，幾乎總是PII所導(dǎo)致----PII所含的數(shù)據(jù)能用作身份盜竊(每一份數(shù)據(jù)都能夠指向一個(gè)具體的用戶，我們能從中得知此人的信息，比如姓名，主旨，出生日期，電話號(hào)碼或社保號(hào)碼)，不知為何這些數(shù)據(jù)到了網(wǎng)絡(luò)黑客手中。

在過(guò)去的幾年里，順從性細(xì)則在亞太地區(qū)的推行變得更廣泛，PII保護(hù)變得更為重要，這就督促各機(jī)構(gòu)調(diào)整安全機(jī)制。身份盜竊的興起，最終堅(jiān)定了行政管理人士及公司管理者的決心，在國(guó)家范圍，企業(yè)范圍內(nèi)實(shí)行順從性細(xì)則，以及《數(shù)據(jù)保護(hù)加密法》。若違反這些法律，會(huì)受到高額的罰款，以及其他對(duì)企業(yè)相關(guān)業(yè)務(wù)的罰款。

以上的方法收效甚微，身份盜竊依然呈上升趨勢(shì)。云合作平臺(tái)，社交網(wǎng)絡(luò)，移動(dòng)性，以及其他IT趨勢(shì)為網(wǎng)絡(luò)黑客提供了契機(jī)，從網(wǎng)絡(luò)盜取用戶最重要的個(gè)人信息。每年發(fā)生的數(shù)據(jù)外泄越來(lái)越多，執(zhí)法機(jī)制僅提高所有部門的懲罰力度以對(duì)，而與客戶信息打交道的機(jī)構(gòu)卻越來(lái)越多，這些機(jī)構(gòu)處理并存儲(chǔ)的往往是客戶最敏感的信息。例如，在全球范圍內(nèi)，上市公司對(duì)SOX證書的需求有所增加，銀行和金融公司更是對(duì)GLB(最大下界限)條例嚴(yán)格執(zhí)行，以信用卡支付作為主要的支付方式的交易也在增多。

在以上機(jī)構(gòu)中，實(shí)行PII數(shù)據(jù)保護(hù)，將不僅是業(yè)務(wù)營(yíng)生的關(guān)鍵，還將幫助主管們避免巨額罰款，甚至牢獄之災(zāi)。

違規(guī)罰款可高達(dá)數(shù)十萬(wàn)美元或更多，然而，“清理”和修復(fù)安全機(jī)制的成本輕易就超能過(guò)這個(gè)數(shù)字，因此在發(fā)生過(guò)的數(shù)據(jù)泄露事件中，客戶PII數(shù)據(jù)不是意外就是被惡意外泄。“清理”包括：整個(gè)數(shù)據(jù)庫(kù)的物理快報(bào)，應(yīng)對(duì)客戶查詢的資源，以及應(yīng)對(duì)新型信用卡潛在制造成本的資源，信譽(yù)損失的處理就更不用說(shuō)了。這些費(fèi)用相疊，足以使一家公司破產(chǎn)。

由于費(fèi)用近乎天文數(shù)字，IT管理員很是害怕PII丟失或外泄，而最高等級(jí)的C級(jí)執(zhí)行人員幾乎夜不能寐。

當(dāng)然，請(qǐng)牢記，沒有100%的數(shù)據(jù)安全，尤其是在網(wǎng)絡(luò)服務(wù)器上存儲(chǔ)數(shù)據(jù)，以及通過(guò)移動(dòng)應(yīng)用處理常規(guī)交易時(shí)，風(fēng)險(xiǎn)尤其大。然而，有一些機(jī)構(gòu)通過(guò)實(shí)踐，找出了最佳方法，使情況不再那麼嚴(yán)峻。

在減輕組織風(fēng)險(xiǎn)上，管理與員工教育是關(guān)鍵因素，因此，角色型安全工具應(yīng)運(yùn)而生。

尤其當(dāng)發(fā)生數(shù)據(jù)外泄時(shí)，角色型數(shù)據(jù)丟失防護(hù)產(chǎn)品不僅能夠記錄在案，并向IT管理員發(fā)出警告，同時(shí)還使安全部門能夠?qū)?shù)據(jù)外泄做出相應(yīng)應(yīng)對(duì)。這些緩和技術(shù)可以從存檔數(shù)據(jù)傳輸，到使用報(bào)警管理，在威脅處理完畢前，中止用戶或危險(xiǎn)交易。

不過(guò)若是如此，知識(shí)授權(quán)，以及機(jī)構(gòu)最重要的一步，就將是定位所有風(fēng)險(xiǎn)領(lǐng)域，并進(jìn)行全面評(píng)估。本質(zhì)上而言，這意味著公司需要確定所有PII的存儲(chǔ)地點(diǎn)，確定誰(shuí)有權(quán)訪問信息，以及怎樣在機(jī)構(gòu)內(nèi)外移動(dòng)PII。一旦該信息被發(fā)現(xiàn)和分類， IT管理員有責(zé)任實(shí)施適當(dāng)?shù)陌踩邅?lái)保護(hù)數(shù)據(jù)。