看到這些糟糕透頂的信息安全事件和隱私泄露變得如此稀松平常，真是令人沮喪不已。讓我們來特別關注一下下面這四起事件：

隨著更多細節被公布，索尼被黑事件持續發酵。某急診室護士使用病人信用卡。研究醫院由于作業簡單處理造成中西部婦女醫療中心病歷泄露。加拿大多倫多道明銀行外包供應商遺失兩卷包含約26萬客戶數據的備份磁帶。

類似上面這樣的事件數不勝數。這些事件，以及其他大多數的信息安全事件，也許本可以避免，如果存在一個建立在以下三個主要核心元素的有效信息安全和隱私管理規程的話：

一、風險管理

作為廣泛風險管理計劃的一部分，如果對上面的這四個案例做一下風險評估的話，每個案例都將會發現重大風險。這里僅就上面每個相應的案例，舉一例說明在數據泄露前就應該識別并可以降低的風險：

除了部署入侵檢測和防御系統，索尼應該在其網絡中發生遠程訪問的地方發現漏洞，并建立更強的控制機制。急診室應當對工作人員實施數字監控，并且當工作人員對病人行竊時，要通過現場審計和背景調查來幫助識別。研究醫院設施作業風險評估應該可以診斷出對打印病歷的處理過于簡單。如果TD銀行建立了供應商安全和隱私規程監督管理程序，對于供應商在作業中的任何松懈都可以抓個正著。

二、策略和流程

如果每個案例都將策略和流程形成文檔的話，將為所有工作人員建立參考，用以查看在整個企業正常工作活動中是什么會對信息提供有效和持續的保護，并且也將建立員工需要熟知的要求和職責。這里僅就上面每個相應的案例，舉一例說明在數據泄露前就應該識別并可以降低的風險：

索尼應當建立文檔策略和支持流程，不允許在數據文件中明文存儲用戶ID和密碼。（鬼知道他們為什么會做出這種可怕的高風險行為！？）急診室應當實施相關策略，確保病人的所有貴重物品都放在工作人員無法接觸的儲物柜里。研究醫院應當有策略和規程，對要處理的包含機密信息的所有文檔進行徹底粉碎。道明銀行應當有相關策略，要求所有備份磁帶在提供給供應商之前進行加密存儲。

三、教育培訓

索尼應當為所有人員提供信息安全和隱私培訓，并定期、頻繁地向所有人員發送提醒，提醒他們保護好所有類型的關鍵任務和有價值的知識產權，防止不當釋放。急診室應當為所有人員提供信息安全和隱私培訓，并定期、頻繁地向所有人員發送提醒，提醒他們保護好患者信息，了解其他人正在對病人財產做什么，以及如何報告可疑活動。研究醫院應當為處理任何形式信息的所有人員提供安全處理培訓，并定期、頻繁地向所有人員發送提醒，提醒他們在丟棄帶有敏感信息的任何類型媒體前要進行徹底銷毀。道明銀行應當確保其供應商和其他外包實體為他們的所有人員提供信息安全和隱私培訓，并確保他們定期、頻繁地提醒他們的所有人員，如何保完客戶委托給他們的信息。

不論什么規模的組織，這都是保障有效信息安全管理需要遵守的底線。

【除了許多名符其實的大組織，這些年來，我一直在和數以百計的中小企業進行合作。我見過大部分的中小組織在很多情況下都不只是完全省略了這三個核心要素中的一個，甚至是兩個。】

任何類型、任何規模的組織，都需要圍繞這三個核心要素建立自己的信息安全和隱私規程：

如果不這樣的話，那就是致潛在重大乃至可能致命的信息安全事件和隱私泄露于不顧。