如今，许多公司在收集敏感的个人身份信息（PII），比如姓名、帐号、交易及其他财务信息，并用于几乎每一个客户和内部企业职能方面：人力资源、市场销售、客户支持、技术支持、产品开发、投资者关系和法规遵从等等。许多公司还在处理与必须严加保护的知识产权和商业秘密有关的敏感数据。

　　由于风险很高，许多公司应该落实一套相应程序，以便尽量减小数据泄密的可能性；而且万一数据泄密出去，以便减轻危害。本文列出了每家公司都应该采取的五个步骤，以确保自己正视并妥善管理与数据有关的风险。

　　现在盛行云计算，使用第三方应用服务提供商，以及将包括工资、福利、营销及更多方面的业务职能外包出去，这种趋势导致潜在的安全漏洞急剧增加；而且说到管理与数据有关的风险，提高了要求。

　　最近，重大的数据泄密案件也完全生动地表明了一旦敏感数据外泄出去，财务、法律和名誉等方面可能遭受重大危害。这些例子着重表明，如果哪家公司遇到了敏感数据擅自发布出去（不管无意还是有意）的情况，它可能至少面临两种索赔：一种是因敏感信息泄露而个人提出的索赔，另一种是因数据泄密而蒙受损失的债权人或其他公司提出的赔偿或损害索赔。

　　在这个方面，预防确实远胜于补救。

　　知道自己有什么数据–每家公司评估信息安全时应该采取的首要步骤之一是，详细列出本公司在哪些地方采集、使用或保存可能敏感的数据，每一个地方都不能落下。常见的数据门户包括：公司网站（网上的联系人、登记资料或申请表格）、就业过程以及出于市场营销用途而收集的信息。

　　搞清楚谁负责每一种信息，谁可以访问该信息。信息是不是与外部厂商或其他的第三方机构共享？查明落实了哪些物理和技术防护措施来保护敏感数据。并制定好计划，停止收集和销毁公司其实不需要的个人身份信息（PII）。

　　了解自己履行的义务–为了保护员工和消费者，联邦和州政府的诸多管理部门已制定了一系列隐私和数据安全法律。视处理的数据类型而定，贵公司可能需要遵守不同的法律，比如《非请求色情及广告信息攻击控制法案》（CAN-SPAM）、《儿童在线隐私保护法》（COPPA）、《电子通讯隐私法》（ECPA）、《公平准确信用交易法案》（FACTA）、《公平信用报告法》（FCRA）、《金融服务现代化法案》（GLBA）或《美国爱国者法案》等。可能还要根据合同，遵守相应的隐私标准。当然，联邦贸易委员会（FTC）和各州检察总长已经越来越严格地执行法律，禁止在使用收集而来的信息方面言行不一的公司采取“不公正、欺诈性的商业惯例。”

　　另外要注意，政府要求拥有个人信息的公司提供这类信息，这种现象越来越常见。不是每一个政府要求都是合理的，如果这个要求没有得到正规传票的支持，更是不合理的。任何要求都应认真予以审查；在9o11事件发生后的一段时期，政府要求电话公司协作，提供客户信息，但电话公司都会认真审查，而不是轻易信之。

　　了解自己的合作伙伴–如果贵公司为其他公司处理敏感数据，或者依赖外部厂商开展需要贵公司共享数据的业务活动，那么万一出现数据泄密，与每一家厂商签订的协议具体如何处理隐私性、机密性、数据保护和责任等方面的问题显得极其重要。

　　知道自己是否投了保–面临可能导致私密信息泄露的数据泄密风险，许多公司可能会向保险公司投保，尽量减少泄密事件带来的索赔、损失和责任。因而，趁数据泄密还没有发生，公司应该采取积极的措施，确保自己投了所需要的险种。尤其是，公司应该对自己投保的全部险种进行审计，看看有没有遗漏的方面。

　　制定好计划–首先要制定一项常规性计划，内容主要涉及平常收集、处理、保存、共享和访问数据的方式。其次要制定一项计划，内容主要涉及万一出现最糟糕的情况，尽管尽了最大的努力，但敏感数据还是丢失或失窃，公司该如何应对。

　　第一个计划要包括外部的隐私和保密政策以及确保数据保护的内部政策。其次，公司应该落实一项计划，旨在发现敏感数据的任何未授权访问、丢失或泄密，并采取对策。这项计划应明确谁第一个负责留意数据泄密事件，这类事件包括：电脑黑客行为；含有敏感数据的物理文件、设备或硬盘的丢失；以及公司员工或厂商滥用数据的情况。这项计划还应该明确：一旦发现了泄密事件，公司应该如何从IT、法律、保险和公共关系等角度来应对。

　　虽然影响数据保护责任的因素仍充满了不确定性，而且在不断变化，但有一点是明确无误的：未能保护敏感数据带来的成本和责任在不断加大。如果公司遵守上面这五个风险管理步骤，就能有助于降低不良数据事件带来的风险，而且果真发生泄密事件，就能准备好减小损害。