内部审计部网络安全审计主管Muhammad Tariq Ahmed Khan 阿拉伯国家银行
关于隐私的误解使很多人感到困惑。人们倾向于在网上共享看似相关或不相关的个人信息,例如生日,地址,联系方式,婚姻和假期计划等社交媒体。除了在不同社交媒体平台上就敏感问题(宗教,民族,政治等)提供意见以外,人们还倾向于分享喜爱的食物,人,地方和工作场所的图片。另一方面,令人兴奋的新技术几乎每天都在出现,人们以在线玩游戏,参加虚拟世界和在线购物为幌子共享信息。同样,组织也出于业务目的收集和存储相关个人信息。因此,隐私风险随股的增加无处不在。共享数据可以单独或集体用于恶意活动。
在继续进行之前,我们先对“隐私”和相关术语作一个明显的低估:
什么是隐私?
隐私是个人或群体将自己或有关自己的信息与外界隔离,从而有选择地表达自己的能力。 (来源:维基百科)
换句话说,隐私权是个人对收集,使用和传播个人身份信息具有控制权的基本权利。
个人身份信息(PII) –直接或间接识别个人的信息。例如:姓名,地址,出生日期和出生地,国民身份证号,生物识别信息(例如照片,指纹,虹膜等)。
什么是数据隐私?
“数据隐私”,也称为“信息隐私”,是信息安全的技术方面,涉及组织处理PII的能力或个人确定可以在计算机系统中收集/存储哪种数据的权利。 ,并且可以与第三方共享。
数据隐私和数据安全之间的区别?
有时,人们和组织对数据隐私和数据安全之间的差异感到困惑。它们都与PII有关,但是是不同的概念。数据隐私与对PII的控制(与使用和治理有关)有关,例如,为确保正确收集,存储,使用和共享PII而制定的政策和程序。数据安全性旨在确保实施技术控制(与机密性,完整性和可用性有关)以保护PII免受恶意网络攻击。换句话说:数据安全是PII的技术方面,而数据隐私是法律方面。在外行’根据条款,隐私是在没有任何干预的情况下独处的基本权利。
隐私风险:
任何组织都面临的最大挑战之一是管理隐私风险。由于隐私意识随着时间的推移而提高,因此人们越来越关注组织如何处理其个人信息。
此外,随着隐私法规和相关处罚的出台,组织必须采取必要步骤来建立和实施强大的隐私风险管理框架。风险管理框架的不足或缺乏可能会带来许多组织风险,例如:
1.可能损害组织的公众形象和声誉
2.潜在的财务或经营损失
3.监管制裁和罚款/罚款
4.失去客户的信任和无法吸引客户
5.破坏业务关系
推荐的良好隐私治理和控制措施:
PII的数字记录在其生命周期的每个阶段都需要独特的保护形式。对于组织来说,实施有效的隐私计划至关重要,该计划包括以下良好的隐私治理和控制措施,以解决上述隐私风险:
隐私权管理:
1.拥有正式的公司治理结构,以确定高级管理层可接受的隐私风险偏好水平。
2.具有一个隐私框架,其中包含有关个人信息地址数据分类,记录管理,保留和销毁的隐私的政策和程序。
3.应制定隐私风险管理框架以识别,分析&评估和治疗隐私风险。
4.定义与隐私程序在其生命周期内有关的角色,职责和责任。
数据采集:
5.记录收集个人信息的商业目的,以确保不收集和保留不需要的PII。
6.确定组织需要收集哪种PII,由谁收集,如何收集,以及由谁定义什么是个人或私人。
权限:
7.充分了解所有个人信息存储在何处以及谁可以访问它们。
8.实施技术解决方案,以根据员工需要访问的PII(例如公共,私有和受限访问)为员工设置不同的权限级别。
数据保密保证:
9.确保在整个生命周期中,静态和动态PII均已加密。 PII应该在各个级别进行加密-数据库,网络,系统平台,应用程序层以及业务流程/功能级别。
10.确定PII向相关第三方的披露规则,而不向未授权实体(人员和系统)披露。
数据治理& Education:
11.制定一个意识计划,为员工提供隐私意识培训,并就其处理隐私要求,问题和疑虑的具体职责提供指导。处理或可以访问个人信息的员工必须经过必要的培训。
12.确保可以使用熟练的资源来开发,实施和维护有效的隐私计划。
隐私合规性监视框架:
13.建立合规性监视框架,以定期验证合规性水平,以确保遵循和详细介绍隐私策略和程序,以满足新的或当前的要求。
14.对当前适用于该组织或将来将适用的隐私法律和法规进行评估。
隐私事件响应计划:
15.制定一个隐私事件响应计划,以防发生个人信息泄露或企图泄露的情况,并将此类泄露报告给授权个人或监管机构或受数据泄露影响的任何人。这包括第三方发生的违规行为。
数据流图:
16.建立一个数据流图,涵盖哪些信息需要从一个位置转移到另一位置,例如部门之间,个人之间,第三方之间以及通过地理边界。
隐私技术解决方案:
17.任何用于隐私的软件,系统或技术都应在部署之前经过充分评估和保护。
18.考虑部署超级自动化以自动编辑静态文件和音频/视频记录中的PII。
良好的隐私治理和控制的主要好处:
我将概述它们的一些主要优点:
- 保护组织的形象和声誉。
- 保护组织及其客户,员工和业务合作伙伴的宝贵数据。
- 在市场上获得竞争优势。
- 遵守适用的隐私法律和法规,避免监管处罚
- 增强组织的信誉并增强信心。
结论:
保护隐私与技术发展密不可分,如今,组织倾向于在安全技术上进行投资,以降低隐私风险。但是,没有一种技术可以防止和消除每次数据隐私泄露的风险。因此,组织应充分了解风险的本质,并采取分层的方法来花一些时间了解PII并重新评估如何管理和保护此隐私数据,从而改善其安全状况。
警告:
本文不涉及有关以物理形式收集,使用,存储和传播PII的数据隐私.
关于作者:
Muhammad Tariq Ahmed Khan是内部审计部网络安全审计主管, 阿拉伯国家银行,利雅得。他是技术和网络安全审核的“主题专家”。他在银行业的IT,网络安全和IT审计等领域拥有超过21年的经验。他对基于风险的审计方法,ISMS(ISO 27001),ISO 22301,NIST和COBIT,IT具有扎实的理解和应用&信息安全法规遵从性。值得称赞的是,Tariq在各种IT平台和IT项目管理方面也拥有扎实的技术知识(通过其相关的专业证书即可证明),并且在灾难恢复和业务连续性管理方面拥有丰富的经验。
他发表了有关网络安全不同主题的文章,并在区域和国际会议上发表了演讲。 研讨会和会议。