在当今的数字时代,隐私比以往任何时候都更加重要. 因为信息是可以复制的, 在几秒钟内被泄露或删除, 消费者和组织需要实施预防措施, detect, 响应和修复数据泄露.
随着越来越多的州颁布自己独特的数据隐私法规,这些步骤正变得越来越复杂. As a result, 组织必须有适当的遵从性和风险实践,以确保遵守新的和不断变化的法规, 这让许多人质疑他们如何才能跟上. Luckily, 这个问题有一个简单的解决办法, 以一个想法为中心:对隐私采取风险优先的方法. 风险优先的方法使组织能够识别并防范最高的组织风险,同时减少对组织的威胁,并保持对不断变化的法规的遵从.
尽管大量新的和不断变化的法规加上更复杂的威胁行为者可能会令人生畏, 关于隐私的未来,有很多事情可以预测, 遵从和采取风险优先的方法只是通过回顾过去.
From Then to Now
虽然数据隐私似乎是一个现代问题, 美国的隐私立法可以追溯到美国宪法. 根据第四修正案, 美国公民有权保护自己和财产不受无理搜查和扣押.1 Since then, 各种法庭案件都维护了隐私, 给予公民更多的保护——尤其是在科技进步的今天. 隐私权是通过《澳门赌场官方下载》确立的。, 健康保险流通与责任法案(HIPAA), 全国不来电登记和, importantly, the E-Government Act. This act, 于2002年由美国国会通过, ,使政府资讯科技资源现代化,并改善网上政府服务的使用. And with it, 在过去的立法中明显的隐私的基本支柱被正式化为明确的指导方针.2 这些准则包括:
- 指定指定人员-数据隐私官维护合规性并保护数据.
- 进行私隐影响评估-隐私影响评估(PIA)评估访问的组织流程, processing, 存储和传输个人身份信息(PII).
- 创建正式的隐私管理流程-这可以包括预防机制, 检测和纠正数据泄露,并应考虑管理, 技术和物理控制, 比如文件化的政策, 数据加密和徽章访问系统.
自从这些隐私的支柱建立以来,并没有太大的变化. 尽管不同州的立法者制定了独特的隐私法律和法规来保护他们的选民,防止不法分子窃取个人信息, 这些支柱仍然是组织如何处理隐私和安全的基础.
The Steps Ahead
对于安全专业人员来说,牢记州和联邦法规并遵循它们以确保适当的合规性是至关重要的, 但同样重要的是,他们要不断更新组织的隐私标准, 安全性和风险缓解. To do so, 组织应该关注四个步骤来维护隐私:降低风险, 找到最大的影响, 自动化核心流程并使可伸缩性保持无缝兼容.
Step 1: Reducing Risk
Often, 组织如此关注各州在隐私要求方面的独特和具体的语言,以至于他们没有认识到这些法律并非完全不同. 这有时会导致安全管理人员错过降低风险的关键方法. For example, 组织可以使用软件来交叉引用隐私框架并创建公共控制. 这使组织能够重用来自控制评估的证据,以证明在遵守多个框架的同时降低了风险.
第二步:发现最大的影响
尽管隐私的支柱已经有20多年的历史了, 组织在识别风险时仍然应该引用它们. 在这些支柱的背景下考虑风险,使组织能够问自己一个关键问题:不保留指定的数据隐私官会带来什么风险, 进行隐私影响评估或实施足够的保障措施来保护数据? 采用这种风险优先的方法使组织能够识别现有的控制差距,并创建将对降低风险产生最大影响的解决方案.
尽管组织也在随着隐私规则和条例的变化而变化, 隐私的核心原则保持不变.
步骤3:自动化核心流程
通过自动从外部系统收集证据, 比如托管提供商, 人力资源信息系统和软件开发工具, 组织可以删除收集这些信息的手动过程, 同时增加评估的准确性和频率,并保持遵从性. 自动化还使这些流程能够快速扩展, 让组织始终保持最新的风险或法规变化.
步骤4:创建一个可扩展的程序
以隐私为支柱作为每个州最新法律的核心, 自动化使这些更改能够在未来很长一段时间内安全地实现. 因为任何更新都可以快速实现, 风险降低计划可以在整个组织中迅速建立起来. 具有易于扩展的隐私程序, 组织可以更好地沟通修复工作的风险和结果, 在此过程中维护遵从性并降低风险.
Conclusion
尽管组织也在随着隐私规则和条例的变化而变化, 隐私的核心原则保持不变. 通过了解隐私的过去, 澳门赌场官方下载可以更好地满足未来的隐私需求. 对数据和隐私采取风险优先的方法对于组织的整体安全性和合规性至关重要. 通过可扩展的自动化风险管理程序, 组织可以在任何可能发生的事情上保持领先地位.
Endnotes
1 美国宪法注释"Fourth Amendment”
2 Bolten, J. B.; “OMB实施2002年电子政府法案隐私条款指南,美国管理和预算局,2003年9月26日
Meghan Maneval
他是RiskOptics的产品策略和宣传副总裁吗. 在管理安保超过15年之后, audit, and governance, 风险和合规(GRC)计划在高度管制的行业, Maneval于2022年加入RiskOptics,帮助推动产品创新,并使GRC澳门赌场官方下载能够实现其目标. She is a passionate security and risk evangelist; a champion of diversity, inclusion and belonging; and a home-renovation enthusiast specializing in process improvement and program iteration. 梅根喜欢通过博客回馈安全和风险澳门赌场官方下载, whitepapers, webinars, 会议演示和播客.
