了解敏感数据保存的位置，以及它所具有的风险，对于正确的数据保护至关重要。 
       根据身份失窃资源中心的数据，2021年1月，网络犯罪分子在全球入侵了超过8.78亿条数据记录，在2022年第一季度，超过90%的数据泄露与网络攻击有关。
       在过去几年里，伴随着新数据产生和消费爆炸式增长，网络犯罪迅速上升。研究表明，在许多企业中，数据产量以每月60%以上的速度增长，部分原因是组织可以从更多的来源收集信息，比以往任何时候都更容易。
       事实上，一些公司报告说，他们从1000个或更多的数据源中提取数据来支持关键任务应用程序，如商业智能(BI)、分析系统和机器学习(ML)平台。虽然更多可用的数据对渴望在市场上获得竞争优势的企业来说是好事儿，但这也是一个重大的风险领域，如果他们不小心的话，可能会导致灾难。       
       未知数量的数据可能包含敏感文件，如个人身份信息(PII)、非公开个人信息和其他受监管的数据，可能存储在本地、云、电子邮件和其他安全性或合规性未知的位置，使它们暴露在网络犯罪分子面前，或者业务上意外丢失。
       因此，世界各地的业务和IT领导者都在努力寻找解决方案，帮助他们提高发现和保护数据的能力，同时还允许他们充分利用数据进行洞察和战略业务规划。

       因此企业及其信任的合作伙伴越来越多地采用数据风险评估(DRA)解决方案。这使他们能够极大地提高识别和保护敏感数据的能力，无论这些数据是否驻留在IT环境中，同时还提高了他们可能甚至不知道存在的信息的战略价值。

风险显著降低的内容和背景
       在Spirion隐私级数据发现方案的支持下，数据风险评估对以前隐藏的敏感数据提供了无与伦比的可见性和准确性，帮助客户制定以数据为中心的路线图，以实现更强大的安全和数据隐私态势
       具体来说，数据风险评估报告对于识别安全控制和业务流程中的差距至关重要，这些缺失大大增加了灾难性数据泄露或不遵守严格的数据隐私法规(如GDPR和CCPA)而受到损害利润的处罚的几率。
       数据风险评估报告评估关键系统和敏感数据风险，按风险级别对数据进行排序，使企业能够主动工作以减少风险暴露。客户可以一目了然地查看有关已暴露敏感数据的重要细节，例如：
-端点名称
-位置路径
-数据类型
-匹配的数量
-位置搜索
-文件类型
       通过确定信息环境中敏感数据的数量和相对脆弱性，团队可以更好地了解如何在组织的每个层面(从端点和应用程序到云、数据库和文件服务系统)采用加固的安全和隐私协议，以及在哪里集中精力以获得最大程度的保护。
真正的商业意义，实际的商业结果
       数据隐私和安全从未像现在这样重要，也从未像现在这样具有挑战性。现在，每次数据泄露的平均成本超过400万美元，随着攻击面继续增长，攻击本身变得更加复杂和难以统计，破坏的程度将继续增加。
       数据风险评估可以对高度敏感的数据进行智能搜索，包括银行账户和信用卡号码、驾照和出生证明、护照、电子邮件地址和其他高价值的网络犯罪目标。
       数据风险评估是任何全面的数据隐私和安全策略的重要组成部分。具体来说，数据风险评估可以通过帮助减少罚款、诉讼和合规处罚，从而极大地减少潜在违规行为的财务和声誉影响。以及通过强大的IT安全自动化来优化资源生产力，从而报告之后减轻有形的数据风险。
https://www.spirion.com/blog/whats-a-data-risk-assessment-and-why-does-your-business-need-one/
       如今，大多数企业都将敏感数据视为最有价值的资产。这包括个人记录到知识产权和其他专有信息。
       每个组织都需要保护其敏感数据的安全和隐私，以避免数据泄露、知识产权被窃和其他可能导致罚款、诉讼，甚至在最坏的情况下导致业务失败的事件。
什么是数据风险评估？为什么它很重要？
       数据风险评估是检查组织如何保护其敏感数据以及需要进行哪些改进。
组织应定期进行数据风险评估，作为审计的一种形式，以帮助发现信息安全和隐私控制方面的缺陷，并降低风险。在数据泄露后，无论是有意还是无意，数据风险评估也是必要的，以改善控制并降低未来发生类似泄露的可能性。
执行数据风险评估的5个步骤
       使用以下五个步骤执行全面的数据风险评估。
1.清点敏感数据
       检查端点、云服务、存储媒介和其他位置，以查找并记录所有的敏感数据。数据清单应包括可能影响风险要求的任何特征。例如，存储数据的地理位置会影响适用哪些法律法规。
       确定每类敏感数据的负责人，以便在必要时与他们进行沟通。
2.为每种数据实例进行数据分类
       每个组织都应该已经对所有敏感数据定义了数据分类，例如“受保护的健康信息”和“个人身份信息”。这些定义应该指出，对于每种敏感数据类型，应该强制或推荐哪些安全和隐私控制。
       即使数据已经有了分类，也要定期重新检查。数据的性质会随着时间的推移而改变，可能会出现适用于争议数据的新分类。
3.优先考虑要评估哪些敏感数据
       一个组织可能有大量的敏感数据，以至于在每次评估时都不可能审查所有数据。如果有必要，优先考虑最敏感的数据、要求最严格的数据或没有进行评估的时间最长的数据。
4.检查所有相关的安全和隐私控制
       审计保护敏感数据的控制，如使用、存储和传输。常见的审计步骤包括：
       验证最小权限原则。确认只有必要的用户、进程服务、管理员和第三方(例如，业务合作伙伴、承包商和供应商)才有权访问敏感数据，并且他们只有所需的访问权限，例如只读、读写等。
       确保所有限制访问数据的政策都得到积极执行。例如，组织可能基于以下因素限制对某些敏感数据的访问：
-用户位置
-数据位置
-一天中的时间
-星期几
-用户的设备类型
       确保使用了所有其他必要的安全和隐私控制措施。降低风险的常用工具包括：
-数据防泄露软件(DLP)
-防火墙
-加密
-多因素身份验证
-用户和实体行为分析（UEBA）
       识别数据保留违规。确定是否存在遵守数据保留策略应该销毁的数据。5.记录所有安全和隐私控制方面的缺陷
       虽然识别安全和隐私缺陷属于数据风险评估的范围，但修复它们不在其中。然而，评估包括以下内容是合理的:
-每项缺陷的相对优先级
-解决每个缺陷的建议行动方案
       这些建议为更好的数据安全提供了理想的路线图。风险矩阵可以根据潜在后果的严重程度和发生的可能性帮助组织问题并确定优先级。