CIO们应该对企业数据保护进行整体研究。安全专家为加强你的数据保护策略，提供了七项建议。

　　企业数据保护需要对包括人员，流程和技术的各方面进行整体规划。很多时候，我们总是容易强调技术，然而，要想使安全策略有效，公司全体员工必须做好他们该做的事（比如：遵守良好的密码策略）。下面是与数据保护策略有关的一些最佳实践示例：

1. 实施一套数据分级保护计划，该计划关注客户，财务和知识产权信息以及该信息的指定所有者。数据保护的级别应该包括：绝密，内部交流和公开，用合适的控制措施来保护这些信息是很重要的。例如：公开的数据应该被严格审查，以确保敏感信息（比如公司将来的产品计划）不会被释放到公司外部。
2. 开发企业范围内的数据架构并在整个组织内管理关键信息的流转。（你会对你的发现感到惊讶的）。信用卡信息就是一个很好的例子，你需要进行严密管理，确保数据保护控制实施到位。这里有个好消息，支付卡行业数据保护标准（PCI DSS）中记录的信息很有价值，其中详细说明了组织为确保这类信息的数据保护安全需要做的事。
3. 在你的整个环境中，加密关键信息（比如信用卡号）。如果你经手信用卡信息，你应该把这些信息加密，这样才符合支付卡行业数据保护标准。电脑黑客很容易在黑市上出售这些信息，而且如果他们能侵入你的计算机，就会窃取你的信用卡信息。
4. 采用新技术（包括云计算或者虚拟化的新技术）作为安全保护机制（比如：认证和数据保护）时要谨慎，它们通常还不太成熟。当你公司员工访问这些系统时，推荐采用双重身份认证，你客户的保密信息，个人认证信息应该保持加密。你应该在进入云服务的世界前确认他们是否具备这方面能力。
5. 保护终端设备，比如：可以用来存储关键信息的个人数字助理，笔记本，移动存储棒以及手机。你应该恰当地设置你的企业安全计划，这样才能避免丢失和盗窃。终端设备是很关键的，它们常被用来存储客户信息，新产品信息以及财务信息。这类设备外形较小，这一因素使得他们更容易被丢失和失窃。你应该在这方面积极行动，加密数据，要求提供访问密码，如果可能的话，最好能利用上远程禁用这些设备的能力。
6. 实施企业数据保护策略。针对信息安全项（比如：强密码机制，加密，双重身份认证以及终端设备的远程删除数据功能）在整个组织内部建立规章制度。
7. 更新你的软件开发周期（SDLC）流程，增加一些关键检查点，比如：安全架构评审，实施代码审查来识别常见代码错误（比如，缓存溢出）。在软件开发周期流程中越早处理你组织的软件安全问题，处理起来就越容易，架构评审可以在代码开发之前排除掉很多这类问题。利用代码检查程序（类似于拼写检查程序）非常有助于识别常见代码问题（比如，缓存溢出）。最后，二进制代码分析工具可以在软件部署之前测试软件的真正运行情况。

　　安全威胁就在这里，采用整体性计划保护你组织的关键数据资产是很必要的。很重要的一点是，开发一套增量改善企业数据安全策略的路线图并定期更新，这会帮助你面对新的安全威胁。