数据保护合规性既提升安全又提升盈利

日期:2016-7-18作者:David Loshin

数据保护   合规性   

【TechTarget中国原创】

隐私信息保护已经成为真正的生意,以至于政府和行业组织已经对数据安全规则以及数据泄露的相关惩处做出了明确规定。单美国自己就有许多法律和行业协定要求组织制定政策和过程来识别数据西楼风险。这些风险还必须基于其安全等级进行进一步分类,规则还要求制定特殊的保护和控制措施来保护数据。进一步还要求公司提供数据泄露事件的公开报告,无论是意外造成的还是出于恶意意图的。

不过尽管有许多这些非常特殊的数据保护合规性指导,挑战依然。2015年共发生了781起数据泄露事件,受连累的记录达到7亿份。网络犯罪已经发生了根本性的变化,从对网站造成严重危害的分布式拒绝服务攻击或者信用卡盗窃过渡到更阴险狡诈的犯罪意图。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

David Loshin
David Loshin

Knowledge Integrity公司总裁,专注商务智能、大数据、数据质量、数据治理和主数据管理。

法规遵从>更多

  • 数据保护合规性既提升安全又提升盈利

    2015年共发生了781起数据泄露事件,受连累的记录达到7亿份。网络犯罪已经发生了根本性的变化,从对网站造成严重危害的分布式拒绝服务攻击或者信用卡盗窃过渡到更阴险狡诈的犯罪意图。

  • 未来物联网的创新方向

    物联网未来的关键推动力量将通过平台商业模型作为其驱动力,而不是传统印象中的产品和解决方案。

  • 资深CIO教你如何灾难恢复

    本文来自一位资深CIO Niel Nickolaisen的经验总结,现任O.C. Tanner公司的CIO,本文讨论的是灾难恢复过程中的一些技巧。

  • 企业网络安全 人人有责

    今年ISSA会议的主题是“网络安全的和谐:激励,创新,整合”,和TechTarget记者参加的许多其他的IT集会相反,与会者和发言者积极帮助对方去打击那些严重的威胁。

相关推荐

  • 有个一体机 承诺“零”数据丢失

    Oracle零数据丢失恢复一体机是一个革命性的数据保护解决方案,它是全球首个专为保护数据库而设计的集成系统,它提供无与伦比的数据库保护方法—几乎避免了数据丢失和备份开销,同时可提供云级可扩展性。

  • 八步打造IT企业数据泄露计划

    当准备应对黑客攻击,CIO Jonathan Feldman参考公共安全专家的意见:因为他们接受过各种潜在场景的培训,虽然他们不能预测所有可能的情况。

  • 如何处理数据外泄后果

    数据外泄不断发生。坏消息是,记录的数目和对客户的影响的严重性没有一点减少的迹象。

  • “黑暗区域”:权衡端到端加密的公共安全成本

    “黑暗区域”——因为加密,所以FBI无法访问数据,——可能会危及公共安全,情报官员说。但技术公司认为,为了保护公司和客户的数据,强大的加密是必须的。

技术手册>更多

  • BPM和SOA依存关系

    虽然已经有很好的SOA的企业可以为BPM和BPMS的实施铺路,这两者之间的关系不是很必要。BPM关注业务需求,而SOA是关于在企业内部改善资产的使用——特别是IT资产。SOA是支持服务间交流的基础架构,可以确定两个计算整体,例如两个项目如何写作。它的目标是提高项目间的交流效率,来保持每个单独的服务可以协作。业务流程管理(BPM)和面向服务架构(SOA)之间的选择,类似鸡和蛋的辩论。

  • 绿色IT行动 从数据中心着手

    绿色IT不是一个孤立的概念,其内涵也绝不是节能、降耗那么简单。它不仅涵盖IT产品的研发、采购、生产、包装、物流、销售、使用、回收的全过程,不仅是让IT企业提供越来越绿色的产品,更重要的是,要通过先进的信息技术和手段,通过硬件、软件和解决方案,让其他更加高能耗、高污染的行业变绿。

  • 部署SaaS应该关注哪些方面

    软件即服务(Software as a service,SaaS)是随着互联网技术的发展和应用软件的成熟,在21世纪开始兴起的一种完全创新的软件应用模式。作为一种由软件服务商提供全部软硬件设备和专业服务,用户每月只需支付少量租用费,通过互联网接入运行平台,就可轻松享受ERP、CRM等应用的软件经营模式。那么,部署SaaS应该关注哪些方面呢?

  • CIO手册:企业风险管理解决方案

    在本技术手册中,将会介绍企业和企业CIO如何全面地执行企业风险管理,包括恰当的风险管理方法、数据保护方案、网络访问控制、云计算安全和法规风险管理。其中的新闻趋势、案例分析等等资源都与企业风险管理方案密切相关,可以帮助你综合企业的各种因素做出明智的决定。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能
【TechTarget中国原创】

隐私信息保护已经成为真正的生意,以至于政府和行业组织已经对数据安全规则以及数据泄露的相关惩处做出了明确规定。单美国自己就有许多法律和行业协定要求组织制定政策和过程来识别数据西楼风险。这些风险还必须基于其安全等级进行进一步分类,规则还要求制定特殊的保护和控制措施来保护数据。进一步还要求公司提供数据泄露事件的公开报告,无论是意外造成的还是出于恶意意图的。

不过尽管有许多这些非常特殊的数据保护合规性指导,挑战依然。2015年共发生了781起数据泄露事件,受连累的记录达到7亿份。网络犯罪已经发生了根本性的变化,从对网站造成严重危害的分布式拒绝服务攻击或者信用卡盗窃过渡到更阴险狡诈的犯罪意图。知识产权盗窃、黑客行为主义(hacktivism)、政府情报收集、数据泄露这些活动使得有组织犯罪成为常见的事情。近年来值得注意的一些泄露包括:

索尼身上发生的企业知识产权数据泄露。

存放在由美国人事管理局(OPM)管理的数据库中上百万个人可识别信息(PII)的泄露。PII包括了个人的社会安全号码、生日、地址等信息。

超过1亿的健康保险会员记录被盗,其中健康支付商Anthem泄露规模最大,被盗记录达到了7800万份。

从合规性角度来说保护敏感数据是重要的,但也会提供商业价值。上述泄露的共同主题是破坏组织安全措施导致的潜在损失与被盗内容的价值是直接相关的。比防火,泄露的索尼数据有可能包含了商业运作和交易的信息,这些信息有可能被用来操纵股票市场。OPM泄露有可能导致流氓国家对所有政府员工和承包商都建立档案,而盗取健康数据可以被用来进行保险欺诈。

总之,组织已经运用了网络边界安全方法,为的是防止泄露并在系统受牵连的情况下提供通知。这种办法仍然存在一定程度的风险:针对未必实时发生的泄露,以及在许多情况下等到影响被注意到泄露早已发生多时或者对哪些数据集已被盗取的检测能力。网络边界安全当然是防止数据泄露的必要组件,但是对于完整的数据保护计划来说光有这个是不够的,因为一旦防火墙被攻破,保护就受限了。

美国数据保护合规性监管

美国有几个行业相关的合规性法则概括了识别和缓和数据安全风险的过程。下面是美国数据保护合规性法则众多例子当中的一些示例:

在线数据保护:儿童在线隐私保护法案(COPPA)要求合理的过程去“保护对儿童个人信息收集的机密性、安全以及完整性。”

金融机构数据收集:根据金融服务现代化法案的安全规则,“金融机构必须形成书面的描述保护客户信息规程的信息安全计划。”该计划必须包括“在公司运营的每一个相关领域识别和评估客户信息风险,并且评估当前控制这些风险的保护措施的效能”的流程。

保护健康信息:健康保险流通与责任法案(HIPAA)隐私规则的目标是“确保个人的健康信息受到适当保护的同时允许必要的健康信息流动来提供和促进高品质的医疗保健……”

相应地,HIPAA违反通知规则要求,HIPAA涉及的实体及其关联企业在不安全的受保护健康信息被泄露后要提供通知,这种行为一般是指“在隐私规则下不被许可的、导致受保护健康信息的安全或隐私受侵犯的使用或者泄露。”

联邦机构数据保护:”2002年的联邦信息安全管理法案(FISMA)要求联邦机构制定计划来提供帮助保护信息资产的信息系统安全。FISMA指导这些机构“提供制定和维护最低要求所需的控制来保护联邦信息和信息系统。”

信用卡处理:支付卡行业数据安全标准(PCI-DSS)是一个行业性的标准,标准提出了若干控制措施来保护存储的持卡人数据并限制对这一数据的访问。

数据保护合规性的实施

更大的洞察要求进行更全面的敏感性分析、风险评估以及数据保护合规性控制的制度。为了强化遵守数据保护法规和行业指导意见的手段,需要处理好下面这三个实施信息和内容保护的关键问题:

数据感知:在数据资产可进行保护之前,我们必须意识到这种数据的存在。许多组织缺乏共享、可访问的主要数据集的目录,更不必说对犯罪分子有可能感兴趣的工作组或者桌面的人工产物进行详细评估了。因此,要在共享的详细目录中建立一个数据资产目录来帮助支持数据保护合规性过程。

敏感性评估:设计一个流程来分配被标识的数据资产的敏感度。然而,要意识到尽管不是每一个数据集都包含有敏感信息,但是从不同数据集调配出来的数据可能会创建出不断需要保护的信息集。要制定形成评估数据敏感度的办法,并且用来对数据集进行敏感度认定。

数据保护:对于那些包含敏感信息的数据集来首,必须运用特定应用方法来保护破坏安全事件的内容。要建立访问控制并且定义数据访问的角色和权限。这可能包括了加密(静态和动态)数据的手段,以及基于用户权限级别的数据掩码。

因为数据安全团队成员未必熟悉这些类型的数据管理最佳实践,在数据管理专业人士与安全管理专业人士之间建立合作关系就显得至关重要。这里面还需要技术支持全面的数据保护计划,拥有数据资产识别和管理的评估工具也很重要。这些技术可以在多个数据集组合起来是用来确定受保护数据泄露的风险是否会增加。

最后,要考虑利用加密和数据掩码策略的数据保护策略的实现方式。通过弥补网络边界安全与内容保护的鸿沟,你的组织就能拥有一个更加可预测的计划来将信息安全风险与对数据保护规则的违规行为降到最低。