数据保护合规性既提升安全又提升盈利

日期:2016-7-18作者:David Loshin

数据保护   合规性   

【TechTarget中国原创】

隐私信息保护已经成为真正的生意,以至于政府和行业组织已经对数据安全规则以及数据泄露的相关惩处做出了明确规定。单美国自己就有许多法律和行业协定要求组织制定政策和过程来识别数据西楼风险。这些风险还必须基于其安全等级进行进一步分类,规则还要求制定特殊的保护和控制措施来保护数据。进一步还要求公司提供数据泄露事件的公开报告,无论是意外造成的还是出于恶意意图的。

不过尽管有许多这些非常特殊的数据保护合规性指导,挑战依然。2015年共发生了781起数据泄露事件,受连累的记录达到7亿份。网络犯罪已经发生了根本性的变化,从对网站造成严重危害的分布式拒绝服务攻击或者信用卡盗窃过渡到更阴险狡诈的犯罪意图。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

David Loshin
David Loshin

Knowledge Integrity公司总裁,专注商务智能、大数据、数据质量、数据治理和主数据管理。

法规遵从>更多

  • GDPR条例即将出台 你准备好应对了吗?

    ,欧盟《通用数据保护条例》(GDPR)条例将对违规企业采取严厉的惩罚措施。该条例的影响范围不仅限于公司总部位于欧盟国家的企业,还同样适用于与欧盟公民相关并拥有公民个人数据的全球企业。

  • 未来物联网的创新方向

    物联网未来的关键推动力量将通过平台商业模型作为其驱动力,而不是传统印象中的产品和解决方案。

  • 资深CIO教你如何灾难恢复

    本文来自一位资深CIO Niel Nickolaisen的经验总结,现任O.C. Tanner公司的CIO,本文讨论的是灾难恢复过程中的一些技巧。

  • 企业网络安全 人人有责

    今年ISSA会议的主题是“网络安全的和谐:激励,创新,整合”,和TechTarget记者参加的许多其他的IT集会相反,与会者和发言者积极帮助对方去打击那些严重的威胁。

相关推荐

  • 有个一体机 承诺“零”数据丢失

    Oracle零数据丢失恢复一体机是一个革命性的数据保护解决方案,它是全球首个专为保护数据库而设计的集成系统,它提供无与伦比的数据库保护方法—几乎避免了数据丢失和备份开销,同时可提供云级可扩展性。

  • 八步打造IT企业数据泄露计划

    当准备应对黑客攻击,CIO Jonathan Feldman参考公共安全专家的意见:因为他们接受过各种潜在场景的培训,虽然他们不能预测所有可能的情况。

  • 如何处理数据外泄后果

    数据外泄不断发生。坏消息是,记录的数目和对客户的影响的严重性没有一点减少的迹象。

  • “黑暗区域”:权衡端到端加密的公共安全成本

    “黑暗区域”——因为加密,所以FBI无法访问数据,——可能会危及公共安全,情报官员说。但技术公司认为,为了保护公司和客户的数据,强大的加密是必须的。

技术手册>更多

  • 移动和无线应用开发方法小引

    移动设备的广泛使用改变了企业的业务模式和经营行为,而经营模式和行为的改变需要更多的移动应用的支持。因此,开发大量适合企业需要的移动应用的需求也越来越迫切。本技术手册将介绍移动应用开发,并详细分析了黑莓平台的上应用开发。

  • CIO指南:企业规划解决移动难题

    计算能力融合到了永远在线的移动设备上,这给企业的IT部门带来了许多的机遇和挑战。智能手机设备提供了灵活的计算范围和通信选择,同时也使得支持智能手机和其他用户配置移动设备的IT部门面临着很多的挑战。本手册将重点关注企业应如何对这些长期依赖被认为是“私人设备”进行管理和规划。

  • 专注流程改善的ITSM和ITIL最佳实践

    本技术手册将会介绍ITSM和ITIL最佳实践。IT基础设施库(ITIL)是一系列流程和标准,可以帮助企业执行高效的IT服务管理(ITSM)。企业采用ITSM和ITIL最佳实践可以完成业务流程改善、削减成本并提高效率。为了更加高效,很多企业都把ITSM和ITIL流程与其他方法结合,例如敏捷IT、六西格玛、ISO20000以及项目组合管理(PPM)。

  • 2009年IT外包趋势分析

    2009年CIO如何转变IT外包的发展方向?怎样从IT外包提供商那里获取最大的利润?丑闻笼罩下如何预防IT外包遭遇风险?在本次专题中专家一一进行了分析。

TechTarget

最新资源
  • 安全
  • 存储
  • 数据库
  • 虚拟化
  • 网络
  • 数据中心
【TechTarget中国原创】

隐私信息保护已经成为真正的生意,以至于政府和行业组织已经对数据安全规则以及数据泄露的相关惩处做出了明确规定。单美国自己就有许多法律和行业协定要求组织制定政策和过程来识别数据西楼风险。这些风险还必须基于其安全等级进行进一步分类,规则还要求制定特殊的保护和控制措施来保护数据。进一步还要求公司提供数据泄露事件的公开报告,无论是意外造成的还是出于恶意意图的。

不过尽管有许多这些非常特殊的数据保护合规性指导,挑战依然。2015年共发生了781起数据泄露事件,受连累的记录达到7亿份。网络犯罪已经发生了根本性的变化,从对网站造成严重危害的分布式拒绝服务攻击或者信用卡盗窃过渡到更阴险狡诈的犯罪意图。知识产权盗窃、黑客行为主义(hacktivism)、政府情报收集、数据泄露这些活动使得有组织犯罪成为常见的事情。近年来值得注意的一些泄露包括:

索尼身上发生的企业知识产权数据泄露。

存放在由美国人事管理局(OPM)管理的数据库中上百万个人可识别信息(PII)的泄露。PII包括了个人的社会安全号码、生日、地址等信息。

超过1亿的健康保险会员记录被盗,其中健康支付商Anthem泄露规模最大,被盗记录达到了7800万份。

从合规性角度来说保护敏感数据是重要的,但也会提供商业价值。上述泄露的共同主题是破坏组织安全措施导致的潜在损失与被盗内容的价值是直接相关的。比防火,泄露的索尼数据有可能包含了商业运作和交易的信息,这些信息有可能被用来操纵股票市场。OPM泄露有可能导致流氓国家对所有政府员工和承包商都建立档案,而盗取健康数据可以被用来进行保险欺诈。

总之,组织已经运用了网络边界安全方法,为的是防止泄露并在系统受牵连的情况下提供通知。这种办法仍然存在一定程度的风险:针对未必实时发生的泄露,以及在许多情况下等到影响被注意到泄露早已发生多时或者对哪些数据集已被盗取的检测能力。网络边界安全当然是防止数据泄露的必要组件,但是对于完整的数据保护计划来说光有这个是不够的,因为一旦防火墙被攻破,保护就受限了。

美国数据保护合规性监管

美国有几个行业相关的合规性法则概括了识别和缓和数据安全风险的过程。下面是美国数据保护合规性法则众多例子当中的一些示例:

在线数据保护:儿童在线隐私保护法案(COPPA)要求合理的过程去“保护对儿童个人信息收集的机密性、安全以及完整性。”

金融机构数据收集:根据金融服务现代化法案的安全规则,“金融机构必须形成书面的描述保护客户信息规程的信息安全计划。”该计划必须包括“在公司运营的每一个相关领域识别和评估客户信息风险,并且评估当前控制这些风险的保护措施的效能”的流程。

保护健康信息:健康保险流通与责任法案(HIPAA)隐私规则的目标是“确保个人的健康信息受到适当保护的同时允许必要的健康信息流动来提供和促进高品质的医疗保健……”

相应地,HIPAA违反通知规则要求,HIPAA涉及的实体及其关联企业在不安全的受保护健康信息被泄露后要提供通知,这种行为一般是指“在隐私规则下不被许可的、导致受保护健康信息的安全或隐私受侵犯的使用或者泄露。”

联邦机构数据保护:”2002年的联邦信息安全管理法案(FISMA)要求联邦机构制定计划来提供帮助保护信息资产的信息系统安全。FISMA指导这些机构“提供制定和维护最低要求所需的控制来保护联邦信息和信息系统。”

信用卡处理:支付卡行业数据安全标准(PCI-DSS)是一个行业性的标准,标准提出了若干控制措施来保护存储的持卡人数据并限制对这一数据的访问。

数据保护合规性的实施

更大的洞察要求进行更全面的敏感性分析、风险评估以及数据保护合规性控制的制度。为了强化遵守数据保护法规和行业指导意见的手段,需要处理好下面这三个实施信息和内容保护的关键问题:

数据感知:在数据资产可进行保护之前,我们必须意识到这种数据的存在。许多组织缺乏共享、可访问的主要数据集的目录,更不必说对犯罪分子有可能感兴趣的工作组或者桌面的人工产物进行详细评估了。因此,要在共享的详细目录中建立一个数据资产目录来帮助支持数据保护合规性过程。

敏感性评估:设计一个流程来分配被标识的数据资产的敏感度。然而,要意识到尽管不是每一个数据集都包含有敏感信息,但是从不同数据集调配出来的数据可能会创建出不断需要保护的信息集。要制定形成评估数据敏感度的办法,并且用来对数据集进行敏感度认定。

数据保护:对于那些包含敏感信息的数据集来首,必须运用特定应用方法来保护破坏安全事件的内容。要建立访问控制并且定义数据访问的角色和权限。这可能包括了加密(静态和动态)数据的手段,以及基于用户权限级别的数据掩码。

因为数据安全团队成员未必熟悉这些类型的数据管理最佳实践,在数据管理专业人士与安全管理专业人士之间建立合作关系就显得至关重要。这里面还需要技术支持全面的数据保护计划,拥有数据资产识别和管理的评估工具也很重要。这些技术可以在多个数据集组合起来是用来确定受保护数据泄露的风险是否会增加。

最后,要考虑利用加密和数据掩码策略的数据保护策略的实现方式。通过弥补网络边界安全与内容保护的鸿沟,你的组织就能拥有一个更加可预测的计划来将信息安全风险与对数据保护规则的违规行为降到最低。