大量重要的数据组成“信息”，信息可能是机密的、敏感的、公开的或不足挂齿的。机密的或敏感的信息需要得到必要的安全保护，需要加以必要的安全控制措施，以防止未授权的第三方非法获得它们。

那么都有哪些必要的安全控制措施，该如何保护这些机密或敏感的数据呢？

首先，要找出重要的机密和敏感信息，不明确哪些是重要的需要加强安全保护的信息？那不就是一笔糊涂账吗？这可是保护信息安全的最基本的方法呢！举例讲，银行的产品信息就是可以公开化的、但银行客户的帐户信息应该是敏感的、而客户帐户的密码或令牌就是机密的。我们要把所有的数据类别都找出来，包括纸质的和系统中的，然后按照对业务成功的贡献度、失去这些文件可能带来的损失多少来定级。

其次，组织需要让信息有一个“所有者”，个人的私有数据如照片、作品等等有一个所有者，就是个人，组织和团队的数据可能会有多人创建和使用，为什么要有一个“所有者”呢？我们反问一下，没有指定的“所有者”，谁为这些公有数据的安全保护担负最终责任呢？要信息安全团队为业务团队的信息数据的安全负责？错！这就是我们没有搞清楚信息安全“所有者”含义的缘故。

接着，数据的“所有者”多数都是各业务单元的经理主管们，要不要这些经理主管们来保护信息数据的安全呢？他们不是数据安全保护的专家，甚至有些不懂得电脑的操作，更不要说复杂的系统安全设置，所以这些数据安全保护的工作可以交由专业团队和人员来进行，往往就是IT系统管理员或IT安全人员。

最后，IT管理员或信息安全管理员要不辜负信息“所有者”的重托，实施必要的数据安全控制措施如用户登录、访问控制、数据加密、日志审计等措施，确保机密和敏感数据的安全，这其中不少工作的执行需要得到信息“所有者”的审核或批准，比如决定应该给哪些人员什么样的数据访问权限，是否需要删除某些人的访问权限等等。

不要以为上述已经是组织内部完整的信息数据安全管理流程，一方面组织内部并没有多少员工天生便了解这些角色、职责和安全工作流程，他们需要得到适当的安全培训才能了解这些安全基础理念，进而方可胜任各自应当担负的安全工作。另一方面，我们要知道，组织中的重要数据并不限于纸质的和在计算系统中的，还有很大一部分或在人脑中，或在白板上，或在电话交谈中，如果员工们得不到必要的安全培训，他们将很轻易将所知晓的机密或敏感数据泄露出去。

说到底，要保障对商业成功至关重要的各类业务信息的安全，盲目实施数据保护系统是不够的，需要对机密和敏感数据信息的所有者和使用者加强安全意识培训，以便他们有足够的安全知识和安全工作能力，也只有在接受了足够的安全意识培训之后，员工们才能有足够的安全观念参与到无形的信息保护中去。

据信息安全意识培训服务公司昆明亭长朗然科技有限公司的一项调查表明：大多数的高层经理们并不清楚公司的敏感数据如何存储的，更没有清晰的数据访问安全政策。

这就将公司持续运作所赖以的关键信息数据置于严重的毁坏、丢失或曝光可能性之下。在虚拟化、云计算、员工自带计算设备BYOD、以及在线存储服务日益普及的时代，公司IT服务部门已经无法继续沿用传统的内部信息系统集中控管商业数据的方法，而作为商业数据“所有者”的各业务部门经理主管们对信息安全保护的重要性认知水平可能并不够，当数据在外、内部IT环境和控管措施无法对其实施足够的安全保护之时，数据安全问题变得日益严峻。

好在商业信息化流程的变革或创新不是一天所能达成的，云计算和移动应用的优势明显，公司无疑应该积极采用， 以便在提升产品质量、产能、效率等等的同时促进科技创新和降低成本开支。问题在于对公司数据向外流动时的安全控管，多数业务部门的经理们并非云计算或在线存储安全方面的专家，他们更关注变更能证明短期的业绩获得了提升，当然这些并没有错，只是如果没有足够的安全保障，可能会为日后长远的商业成长埋下地雷。

近期，大量的互联网公司亏本做智能手机，除却通过利用入口和应用来争抢互联网用户之外，加强用户粘性，通过获取和分析用户的使用行为和习惯，提供定制化高命中率的广告服务，以便获取更多商业利益才是实质。

所以，除了这些做智能终端的互联网公司，也有不少其它互联网公司开始提供在线存储和远程数据同步。远程数据同步对于终端用户来讲的好处在于异地备份，和随时随地取用。然而，多数终端用户没能注意到的是在线数据存储服务商将如何对待这些数据的条款以及这些条款的意味：首先，服务商肯定会去读取它们；其次，除了收费的服务之外，服务商多不会为在线数据的安全性负责。黑客对数据的恶意篡改、非授权的数据访问、由于意外而造成的数据丢失等等，没有人会负责。可是，数据安全问题，用户可是伤不起。

“通常云计算服务厂商并不想伤害用户，但是谁都不能打包票不出商业毁坏或泄露等等的安全意外。”亭长朗然公司的云计算安全研究员Charles Liu说：“各类型的组织机构可得清醒过来了，将IT应用和数据从传统的内部IT网络中迁移到基于互联网的云计算，可以降低成本和增强商业竞争力，但是组织需要保有足够的安全控管能力。”

首先，选择重视客户数据安全保护的服务商，这些服务商往往会通过了相关的IT服务管理认证和信息安全管理体系认证。

其次，仔细阅读和了解相关的数据安全保护条款，并结合组织的实际情况，选择合适的数据存储、数据安全服务的项目和内容。

再次，同服务商以及云计算系统及数据的用户建立适当的数据访问控制管理流程，如数据分级、加密存储、权限审批、访问控制、访问审核、灾备方案等等。

最后，加强对各级业务部门经理主管以及基层员工进行安全意识培训，让他们了解和认识基本的信息数据安全保护常识，掌握工作相关的数据安全保护措施和流程，在最终用户可以随时随地获得相关数据的时代，这一点尤其必要。

简单总结一下，业务的成功越来越信赖信息化这一核心竞争力，而信息化的核心在于业务应用系统和商业数据，大的趋势之下，应用系统和商业数据将跃至云端，它们的最终用户和所使用的访问终端也是远处不在，安全控管也需要从传统的内网和边界迁移至云端及终端，针对终端用户的安全意识培训比以往任何时候都要紧要。