資料從哪來？

一般來說 IT 領域我們會透過 2 種方式獲得資訊：
一個是從其他地方複製來的資料，另一種就是從頭開始建立起的，
而現今世界透過「複製」(Copy) 是目前新資料獲得的最常見方式。

當我們從系統獲得資料後，除了電腦系統本身牽涉的底層硬體邏輯的儲存外，
在作業系統層級之上、我們所習以為之的檔案系統、資料庫或雲端空間，
就是我們每天息息相關會接觸與使用到的檔案的真正位置。

當系統獲得資料後，通常也會對它先進行一系列「前處理」後才開始使用，
例如像是標註資料來源、檔案建立日期時間與相應的存取權限，
以及分類與歸屬資料屬於哪種業務流程的資料內容、
是否需要對它進行索引分類 (Index) 讓系統更好的運用它，
這些基本上都屬於前置期的處理作業，
而現代的資訊系統都已經可以幫我們很好的自動化處理完成。

資料安全的開始

按照維基百科定義「資料安全 (Data Security)」：
「保護資料不受未經授權的存取，進而避免遭受網路攻擊或資料外洩」

到了這個階段，當人、系統、程式開始調用這些儲存的資料時，
就正式進入到資料被使用的階段 (In use)，
當在資料傳輸 (In transit) 跟資料儲存 (at rest) 的階段，
也就衍生出在不同情境、環境、媒介與實務運用下如何實現資料安全保護。

而圍繞在這一單純的領域與主題所延伸而出的各種技術控制項目的做法，
也發展出各個資訊安全領域如何透過識別、偵測、保護、回應的機制，
來有效的替企業組織提供更好的資料安全保障，像是：

• 資料庫活動監控 (Database activity monitor, DAM)
• 資料外洩保護 (Data Loss Protection, DLP)
• 入侵偵測保護 (Intrustion Prevention System, IPS)
• 安全上網閘道 (Secure Web Gateway, SWG)
• 網頁安全保護 (Web Application Firewall, WAF)
• 行動裝置管理 (Mobile Device Management, MDM)
• 端點偵測與回應 (Endpoint Detection and Response, EDR)
  ...

在技術之外的資料安全

前述所針對內、外部資料，或在外對內連線時提供的技術措施，
基本上都是在既有資料環境透過網路層進行安全的保護與強化，
而額外關於 IT 日常的營運備援、備份資料保護存管議題，
以及營運持續計畫 (BCP) 等等，也都或多或少會與資料安全產生關聯，
但在技術之外，其實安全最大的風險，卻多是由人員與流程所展開的。

例如傳統資安機制就無法針對合法內部人員有效防範資料外洩的議題，
而越往上的層級的主管階層、也因組織流程的必要性接觸到更多的資訊，
也會讓更高層級主管遭受到資安威脅時，產生更大的資料安全影風險。
因此對於人員安全的意識訓練，也是典型大型企業持續不懈推動的人安意識，
畢竟人類才是最後一道以及最有效的防火牆。

再者就是現行產業法規如，PCI DSS、GDPR、HIPAA 等要求的，
包含個資的保護、存取、使用、保存，都訂有嚴謹與完整的合規性要求，
並且也訂定了相關的監管措施與罰則來強制要求特定產業進行遵守，
雖然臺灣目前僅有少數產業有實際實行，但隨著近年資安成熟度的持續發展，
相關產業法規的遵行，也會開始逐漸與主流歐、美國家進行接軌、遵行。

小結

簡而言之，資料安全的核心目的與價值，即是為了實現 C.I.A 三元素：
「即是在於如何保護資訊系統的資料的完整性、機敏性、可用性」，
為了達到此一目的，人員、流程、工具也都發展出實踐資料安全的方法與框架，
資料安全除了工具的實踐外，更重要的也需要能符合組織商業營運的邏輯，
才能既保障了商業順暢的運行，同時也確保提供大眾安全信賴的層級，
讓我們在每天都更成熟的資訊化時代，放心的使用與信賴數位化服務。