数据保护合规性既提升安全又提升盈利

隐私信息保护已经成为真正的生意,以至于政府和行业组织已经对数据安全规则以及数据泄露的相关惩处做出了明确规定。单美国自己就有许多法律和行业协定要求组织制定政策和过程来识别数据西楼风险。这些风险还必须基于其安全等级进行进一步分类,规则还要求制定特殊的保护和控制措施来保护数据。进一步还要求公司提供数据泄露事件的公开报告,无论是意外造成的还是出于恶意意图的。

不过尽管有许多这些非常特殊的数据保护合规性指导,挑战依然。2015年共发生了781起数据泄露事件,受连累的记录达到7亿份。网络犯罪已经发生了根本性的变化,从对网站造成严重危害的分布式拒绝服务攻击或者信用卡盗窃过渡到更阴险狡诈的犯罪意图。知识产权盗窃、黑客行为主义(hacktivism)、政府情报收集、数据泄露这些活动使得有组织犯罪成为常见的事情。近年来值得注意的一些泄露包括:

索尼身上发生的企业知识产权数据泄露。

存放在由美国人事管理局(OPM)管理的数据库中上百万个人可识别信息(PII)的泄露。PII包括了个人的社会安全号码、生日、地址等信息。

超过1亿的健康保险会员记录被盗,其中健康支付商Anthem泄露规模最大,被盗记录达到了7800万份。

从合规性角度来说保护敏感数据是重要的,但也会提供商业价值。上述泄露的共同主题是破坏组织安全措施导致的潜在损失与被盗内容的价值是直接相关的。比防火,泄露的索尼数据有可能包含了商业运作和交易的信息,这些信息有可能被用来操纵股票市场。OPM泄露有可能导致流氓国家对所有政府员工和承包商都建立档案,而盗取健康数据可以被用来进行保险欺诈。

总之,组织已经运用了网络边界安全方法,为的是防止泄露并在系统受牵连的情况下提供通知。这种办法仍然存在一定程度的风险:针对未必实时发生的泄露,以及在许多情况下等到影响被注意到泄露早已发生多时或者对哪些数据集已被盗取的检测能力。网络边界安全当然是防止数据泄露的必要组件,但是对于完整的数据保护计划来说光有这个是不够的,因为一旦防火墙被攻破,保护就受限了。

美国数据保护合规性监管

美国有几个行业相关的合规性法则概括了识别和缓和数据安全风险的过程。下面是美国数据保护合规性法则众多例子当中的一些示例:

在线数据保护:儿童在线隐私保护法案(COPPA)要求合理的过程去“保护对儿童个人信息收集的机密性、安全以及完整性。”

金融机构数据收集:根据金融服务现代化法案的安全规则,“金融机构必须形成书面的描述保护客户信息规程的信息安全计划。”该计划必须包括“在公司运营的每一个相关领域识别和评估客户信息风险,并且评估当前控制这些风险的保护措施的效能”的流程。

保护健康信息:健康保险流通与责任法案(HIPAA)隐私规则的目标是“确保个人的健康信息受到适当保护的同时允许必要的健康信息流动来提供和促进高品质的医疗保健……”

相应地,HIPAA违反通知规则要求,HIPAA涉及的实体及其关联企业在不安全的受保护健康信息被泄露后要提供通知,这种行为一般是指“在隐私规则下不被许可的、导致受保护健康信息的安全或隐私受侵犯的使用或者泄露。”

联邦机构数据保护:”2002年的联邦信息安全管理法案(FISMA)要求联邦机构制定计划来提供帮助保护信息资产的信息系统安全。FISMA指导这些机构“提供制定和维护最低要求所需的控制来保护联邦信息和信息系统。”

信用卡处理:支付卡行业数据安全标准(PCI-DSS)是一个行业性的标准,标准提出了若干控制措施来保护存储的持卡人数据并限制对这一数据的访问。

数据保护合规性的实施

更大的洞察要求进行更全面的敏感性分析、风险评估以及数据保护合规性控制的制度。为了强化遵守数据保护法规和行业指导意见的手段,需要处理好下面这三个实施信息和内容保护的关键问题:

数据感知:在数据资产可进行保护之前,我们必须意识到这种数据的存在。许多组织缺乏共享、可访问的主要数据集的目录,更不必说对犯罪分子有可能感兴趣的工作组或者桌面的人工产物进行详细评估了。因此,要在共享的详细目录中建立一个数据资产目录来帮助支持数据保护合规性过程。

敏感性评估:设计一个流程来分配被标识的数据资产的敏感度。然而,要意识到尽管不是每一个数据集都包含有敏感信息,但是从不同数据集调配出来的数据可能会创建出不断需要保护的信息集。要制定形成评估数据敏感度的办法,并且用来对数据集进行敏感度认定。

数据保护:对于那些包含敏感信息的数据集来首,必须运用特定应用方法来保护破坏安全事件的内容。要建立访问控制并且定义数据访问的角色和权限。这可能包括了加密(静态和动态)数据的手段,以及基于用户权限级别的数据掩码。

因为数据安全团队成员未必熟悉这些类型的数据管理最佳实践,在数据管理专业人士与安全管理专业人士之间建立合作关系就显得至关重要。这里面还需要技术支持全面的数据保护计划,拥有数据资产识别和管理的评估工具也很重要。这些技术可以在多个数据集组合起来是用来确定受保护数据泄露的风险是否会增加。

最后,要考虑利用加密和数据掩码策略的数据保护策略的实现方式。通过弥补网络边界安全与内容保护的鸿沟,你的组织就能拥有一个更加可预测的计划来将信息安全风险与对数据保护规则的违规行为降到最低。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-09-28 11:30:35

数据保护合规性既提升安全又提升盈利的相关文章

李彦宏透露百度视频策略 提升体验不急于盈利

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 比特网(Chinabyte)10月25日消息 在昨天刚刚发布财务的电话会议上,接受分析师咨询的百度CEO李彦宏在谈到百度旗下视频子公司奇艺的发展策略时表示,奇艺目前更多是要累积用户,盈利则相对会较晚一些. 李彦宏也同时表示,明年百度的收入增长的主要驱动力仍将是凤巢相关业务.上下文搜索会产生少量收入,其中视频搜索带来的收入更少.在视频领域,百度

PostgreSQL 10.0 preview 性能提升 - radix tree提升字符编码转换性能

标签 PostgreSQL , 10.0 , radix tree , 字符编码转换 背景 PostgreSQL 10.0 使用radix tree提升UTF-8与其他字符编码转换的性能. 编码map文件按新的radix tree编排,性能相比binary search好了很多. Use radix tree for character encoding conversions. author Heikki Linnakangas <heikki.linnakangas@iki.fi> Mon

抱抱直播app等级怎么提升?抱抱直播提升等级方法

抱抱直播等级怎么提升? 抱抱等级根据你的活跃程度和送礼物数升级 你花钱越多级别就会越高了,你花的时间越多也一样的级别也会越高了哦! 抱抱直播等级在哪里看? 1.我们在手机中打开app进入登录之后再点击"我的"-"我的等级"效果如下所示! 2.然后点进去就能看到你的等急了!等级是尊贵图标凸显身份,等级越高,在直播间里的排序越靠前! 好了我们可以看得出来这个级别是根据我们活跃度与关主播礼物来进行评级了,当然就是要我们常来玩并且常花钱了,这个黑不黑大家懂的.

农业银行信用卡额度怎么提升 信用卡额度提升方法

农业银行信用卡额度怎么快速提升 要求提高信用额度,清除不良记录. 第一.就是要经常刷卡消费 次数要多 而且特别是每个月差不多刷完所有额度 第二.当然要准时还款 留下良好的记录 第三.经常分期付款 不过要支付一些手续费第 四.经常在节假日致电银行临时调整额度以上几项有助于你快速提高额度 当然提高额度必须开卡满6各月 而且这样下来是比较容易的 农业银行信用卡额度提升4个招数 招数一:有频度才有额度 "有频度才有额度",说白了就是刷卡次数越多越好, 也就是能刷卡的地方就不要错过. 此条经验来

提升用户体验仅仅是基础 构建高品质网站才是核心

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 现在很多站长都意识到提升用户体验是非常重要的,这是一种进步,不过去不是网站的最终目标,而是要实现利用良好的用户体验来构建高品质网站,通过高品质网站来获取一大批忠诚的用户,也就是我们常说的粉丝,粉丝越多,网站运营才能够越成功!在介绍如何构建高品质网站之前,先来分析一下常见的提升用户体验的方法! 首先就是要提升网站的第一感觉,网站设计除了具备独特

提升JSP动态网页页面响应速度的七大绝招

js|动态|速度|网页|响应|页面 方法一:在servlet的init()方法中缓存数据 当应用服务器初始化servlet实例之后,为客户端请求提供服务之前,它会调用这个servlet的init()方法.在一个servlet的生命周期中,init()方法只会被调用一次.通过在init()方法中缓存一些静态的数据或完成一些只需要执行一次的.耗时的操作,就可大大地提高系统性能. 例如,通过在init()方法中建立一个JDBC连接池是一个最佳例子,假设我们是用jdbc2.0的DataSource接口来

用户体验设计:如何提升用户满意度

网页制作Webjx文章简介:提升用户满意度的第一步:任务完成度. 提升用户满意度,我们可能需要做很多事情,从全局到细节,需要处处为用户的体验和感受着想.既然我们已经验证用户的任务完成度对用户满意度会产生显著影响,那么我们可以先从提升用户的任务完成度开始. 在前一篇文章--用户任务完成度分析中我似乎遗漏了一个重要的问题:为什么要分析用户的任务完成度?其实每个网站分析的方案和模型都应该具备它的目的和意义,否者就失去了分析的价值.所以这篇文章就是为了回答这个问题,同时也作为"让用户更容易地找到需要的信

嘟嘟语音个人等级是如何提升

  我的嘟嘟等级改如何提升? 嘟嘟等级的升级和在线天数有关,每天登陆时间满足8小时有效天数增加一天.并且升级所需天数会根据等级的提升有逐级提升,等级越高,升级所需天数越多.如需要知道升到下一等级需要多少天数,可以点击头像查看"个人信息"里的等级标志("星星"或"钻石"等),停顿2秒后会有悬浮提示显示升级到下一等级还需要多少天. 嘟嘟1~30级个人等级升级所需时间:http://bbs.dudu.ztgame.com/viewthread.php?

提升关键词排名 让seo优化效果翻倍

一个关键词有多重要?我们在遇到问题时,就会在百度中搜索输入相对应的词,而这些词就是关键词.然后百度会根据关键词匹配相对应的内容,根据相关度对这些内容进行排名.想提高网站的排名,首先就是要重视关键词. 所以能掌握一个合适提炼关键词的方法,能够有效的提升网站的关键词排名.下面犀牛云就为大家介绍几种有效提炼和优化关键词的方法: 1.选好核心关键词 我们在进行网站优化时,首先要为网站选好关键词,增强营销的精准性.关键词的数量不宜太多,一般主要选取3个为益,以"网站优化"为例,在选取关键词时,除