方法1方法1/5：识别敏感信息

1. 1保护公司拥有的任何其他人不应拥有的信息。作为一名企业领导者，仔细评估哪些敏感，哪些不敏感是很重要的。当然，具体细节会因公司而异，但一般来说，你应该采取措施确保任何可能损害客户、员工或企业成功（如果被公开）的东西。例如，您可能需要保护客户的个人信息，例如他们的姓名、社会保险号码和信用卡信息。另一方面，你可能更关心的是限制对某些流程或公式的访问，这些流程或公式使你比竞争对手更具优势，即商业秘密。这可能包括配方或制造流程、公司的财务模型、供应商列表、采购信息或销售方法。当你评估什么样的信息被分类为敏感时，还要考虑你需要多长时间来保留这些信息。例如，在客户信息的情况下，这将始终保持敏感，因此最好只在您需要的时间内将其保存在您的系统中。

2. 2保护这些数据免受数据盗窃或泄漏等威胁。不要只让IT部门负责数据安全，它应该融入公司的各个方面。将安全性作为首要任务，并记住数据丢失可能发生在公司内外。这可能导致欺诈、身份盗窃、收入损失、客户信任，甚至法律问题。例如，您的公司可能会面临来自黑客、不择手段的竞争对手，甚至是无意中共享安全信息的员工的威胁。

3. 3注意不要把所有东西都贴上敏感标签。虽然安全应该是头等大事，但创造一种公司文化也很重要，让员工掌握工作所需的信息。如果你对你的员工总体上是透明的，他们会更了解你不能与他们分享的信息。如果您将太多信息标记为敏感信息，员工可能会找到安全协议的解决方案，作为访问所需数据的一种方式。

方法2方法2/5：处理受保护的数据

1. 1了解处理敏感信息的法律要求。有许多法律法规可能会影响贵公司处理敏感数据的方式。这些法规可能会影响到从公司董事到一线员工的所有人，因此请确保每个人都遵守这些法规。例如，如果您的公司提供支票兑现或贷款等金融服务，《格拉姆-里奇-布莱利法案》要求您保护所有非公开的个人信息，包括消费者的姓名、地址、付款历史或您从消费者报告中获得的信息。如果你是公司的员工，也要注意了解公司关于如何处理敏感信息的规定。考虑找一位专门从事公司法的律师，确保你受到法律保护。

2. 2向员工明确传达企业的期望。让安全成为公司文化的一个组成部分。给所有员工一本手册或小册子，介绍您的隐私期望及其在信息安全中的作用。此外，定期培训所有员工如何处理敏感信息。例如，您可能会接受年度安全培训，如果您的任何安全流程发生更改或更新，请发送电子邮件。你也可以在公司的每个地点贴上标牌，让员工把安全放在最重要的位置。要求你的员工每天离开前清理办公桌，注销电脑，锁好文件柜或办公室。鼓励员工报告可能的数据泄露。你甚至可以创建一个激励计划来奖励那些引起你注意的员工！

3. 3培训员工发现并避免网络钓鱼。有时，黑客会发送电子邮件或打电话，让他们看起来像是来自公司内部，而实际上并非如此。这通常是为了获得对安全数据的访问权。确保所有员工都知道不要通过电话或电子邮件泄露敏感信息。此外，讨论他们如何快速发现钓鱼请求。例如，如果电子邮件看起来可疑，收件人应该仔细检查发送电子邮件的域。网络钓鱼电话通常声称来自IT部门，所以要明确，你的技术团队永远不会通过电话询问员工的用户名或密码。接到客户电话的员工在通过电话讨论任何账户信息之前，应该有一个核实客户信息的流程。

4. 4创建内部系统以处理敏感数据。首先做一个自上而下的评估，以确定公司处理的敏感信息，以及哪些地方可能容易发生数据丢失。然后，创建一个书面策略，说明如何保护这些信息，将其保存多长时间，以及在不再需要时如何处置这些信息。确保所有敏感信息都有清晰的标签，无论是数字数据还是物理副本。包括员工个人应如何处理他们可以访问的数据，包括不在办公桌上保存敏感文件。这就是所谓的桌面清洁政策。

5. 5控制谁可以访问敏感信息。制定一项需要了解的政策，员工只能访问他们工作直接需要的信息。这包括限制对计算机数据的访问，以及采取物理安全措施，如将文件、身份证、门禁钥匙和安全代码存储在上锁的房间或文件柜中。不允许员工从公司大楼移除敏感数据，包括将笔记本电脑带回家或发送包含受保护信息的电子邮件。

6. 6保护员工电脑上的信息。数字数据丢失对任何处理敏感信息的公司都是一个巨大的威胁。维护最新的防火墙、加密协议和防病毒软件。此外，要求所有员工使用包含字母、数字和符号的安全密码。其他措施可能包括：设置公司计算机，使其在停用一段时间后自动超时。只通过加密电子邮件或安全快递发送敏感信息，并且只发送给有权接收信息的人。始终使用安全打印。确保它知道谁可以访问敏感信息，谁不能访问敏感信息。对在家工作的员工采取同样的安全措施。

7. 7通过限制笔记本电脑来限制离开大楼的数据量。一般来说，最好让员工使用台式电脑，尤其是在电脑上存储了安全信息的情况下。如果员工确实需要使用笔记本电脑来完成工作，请限制或加密保存在该计算机上的任何敏感数据。同样，避免员工从手机或平板电脑上访问大量安全数据。在笔记本电脑和其他设备上安装远程擦拭设备。这样，如果该物品丢失或被盗，您可以销毁该数据，使其不会被泄露。

8. 8确保敏感讨论保持安全。如果你的公司有一个会议要讨论商业秘密或其他私人信息，确保会议在一个私人房间举行，以避免被窃听。此外，确保只有被授权了解该信息的人才能参加会议。例如，你可以使用带有隔音墙的私人会议室。

9. 9不要保存你不需要的敏感数据。如果敏感数据对公司的运营没有任何必要，那么就没有理由冒着丢失敏感数据的风险。不要接受或存储来自消费者的不必要的私人数据，例如使用唯一的帐号，而不是通过他们的社会安全号码来识别你的客户。如果你必须收集信用卡号码之类的敏感信息，那么一旦你完成了交易，就要考虑从系统中删除它。某些信息要求您满足严格的立法要求，如通过HIPAA保护患者信息。未能满足这些要求可能会导致巨额罚款，因此，如果你不需要处理或储存，最好完全避免。

10. 10.制定如何应对违约的计划。该计划应详细说明如果出现某种安全漏洞或数据丢失，您将如何保持业务运行。这还应包括在发生可能使您的系统遭受攻击的灾难时，公司将如何保护数据。例如，如果大范围停电，请了解您的数字数据是否更容易受到黑客攻击。如果是这样，采取措施消除这种风险。

11. 11定期进行审计以检查安全合规性。制定计划，定期评估谁访问了IT部门的哪些信息。了解您的敏感数据在系统中的存储位置，以便立即知道是否有人试图访问它。监控系统上的通信量，尤其是当大量数据正在向系统传输或从系统传输时。此外，注意新用户或未知计算机的多次登录尝试，因为这可能表明有人试图访问安全数据。

方法3方法3/5：建议新员工；离职员工

1. 1用保密协议或条款约束所有员工。要求每位新员工在被允许接触任何商业秘密或客户数据之前，在加入公司时签署保密协议（NDA）。虽然这并不能阻止每一次数据丢失，但它确实在发生数据丢失时为您提供了一些法律保护。确保保密协议的期限足够长，即使在员工离开公司后也能保护您。

2. 2.讨论雇佣人员时的数据安全问题。给新员工提供详细说明安全协议的手册或小册子。然而，不要只期望他们阅读和理解，在入职过程中向他们解释清楚。向每位员工解释维护数据安全是其工作描述的一部分。讨论相关法律和内部政策文件。记住，这应该包括所有员工，包括卫星办公室的员工和季节性或临时帮助。

3. 3员工离职时进行离职面谈。在谈话过程中，提醒他们保密协议，以及他们可能接触到的任何敏感信息的义务。此外，要求他们归还公司设备、安全徽章、钥匙等。让它撤销他们所有的安全授权和密码。

方法4方法4/5：通知第三方和访客

1. 1包括第三方合同中的敏感信息条款。如果您与任何外部方（如供应商和供应商）开展业务，请确保他们意识到保护敏感信息的责任。此外，确保你清楚什么时候需要通知他们被认为是隐私的信息。在这些条款中使用“所有非公开信息”的措辞是个好主意，这样一来，你就不必给每一条敏感数据都贴上标签。如果你的服务提供商对敏感信息保密，你可能还需要他们签署NDA。

2. 2仅在需要时共享数据。就像对待员工一样，确保所有第三方只有在对第三方的工作能力绝对必要的情况下，才向第三方提供信息。这被称为“最低特权”政策。此外，确保信息只被安全地共享，比如通过加密网络或私人会议。定期查看提供给第三方的凭据和访问权限，确保您确切知道谁在使用它们。

3. 3如果需要，让访客签署NDA。如果你公司的访问者可能有权访问安全信息，请让他们在签到时签署保密协议。将这些访客NDA存储在一个文件中，只要它们有效，以防个人以后违反协议。例如，如果你的供应商的代表将参观你的工厂，他们可能会看到一个非公共制造过程，让他们签署保密协议将是一个好主意。

4. 4限制访客访问安全信息。如果访问者讨论私人信息，NDA可以给你一些求助，但最好避免允许他们访问这些数据。制定一项政策，防止访客进入存储安全信息的区域，并监控他们在场所内的去向。例如，你可以让一名员工护送访客，以确保他们不会进入限制区域。

方法5方法5/5：储存；处理机密信息

1. 1了解敏感信息进入业务的程度。为了保护敏感信息，您需要了解入口点。评估这些信息来自何处，由什么组成，以及谁可以访问这些信息。一些潜在的来源可能包括：例如，你可能从求职者、客户、信用卡公司或银行获得信息。这些信息可能会通过你的网站、电子邮件、邮件、收银机或会计部门进入你的企业。

2. 2安全存储数字信息和文件。数据安全需要双管齐下的方法。你不仅需要保护你的计算机系统，还需要确保所有的文书工作都得到仔细的保护。确保所有文件都存放在上锁的文件柜中，并且只有合法需要这些信息的授权员工才能访问。除了保护您的现场数字数据，还要确保所有云存储使用多因素身份验证和加密。

3. 3小心地存储数字信息。在可能的情况下，避免将任何敏感数据存储在可以访问互联网的计算机上。如果您确实需要在连接互联网的计算机上保存这些信息，请确保这些信息是安全加密的。你也可以：使用安全的服务器，包括云存储。加密（或散列）客户端密码。定期更新密码。使安全软件保持最新。注意软件漏洞。控制USB接口。将信息备份到安全的地方。

4. 4.把文件撕碎，把它扔掉。不要把旧的应用程序或客户端文件扔进垃圾箱。相反，要投资于高质量、横切式碎纸机，并确保它们在办公室内易于使用。然后，将碎纸文件放入机密垃圾箱中处理。记得在卖掉或扔掉旧文件柜之前把它们清理干净。

5. 5在处理设备之前，完全擦除硬盘驱动器。使用安全数据销毁实用程序确保销毁计算机、手机或平板电脑上的所有信息。不要仅仅依靠重新格式化不足以完全擦除所有数据的硬盘，即使之后覆盖了数据。您还可以使用第三方数据擦除程序来确保您经常删除的文件从设备上擦除。