数据维护政策和法规总是越来越严格。你需要确保你自始至终都把消费者的更大权益放在心上。
自欧盟《通用数据保护条例》生效以来,加州和纽约州分别成功遵循了《加州消费者隐私法》(CCPA)和《阻止黑客攻击和提高电子数据安全性》(Shield)。现阶段已经有12个州申请了许可数据维护法,估计这个数据还会继续增加。
随着英国各地大量不同法律法规的颁布,公司为了更好地防止昂贵的控制处罚而必须采取的对策总是越来越复杂。如果回答了这个难题,你晚上会睡得更好。那些计划解决攻击或已经实施了这一基本策略的人应该相信他们的公司会将客户的最佳利益放在心上。
1。你把“隐私保护和安全设计方案”融入你的自然环境了吗?
按照设计方案完成了隐私保护和安全系数,是一种从一开始就主动融合隐私保护和数据维护的方式。这种方法遵循七个标准,以在IT和业务流程的自然环境中逐步实现目标。在专项技术、实际 *** 作、系统架构、互联网的设计过程中,尽早倡导隐私保护和安全系数,保证你在整个设计生命周期中设置完善的步骤。
2。敏感数据在传输和静止期间是否加密?
数据加密密钥对于维护数据解决方案和存储数据尤为重要。密钥管理的级别应该与该密钥所服务的项目的重要角色的级别相对应。我强烈要求按时升级数据加密密钥,并与数据分开存储。事实上,数据总是在移动的。当它跨边界移动时,为了维护这些信息内容,需要在其不移动和传输的全过程中进行强数据加密。
3。有必要按照要求浏览数据吗?
数据自始至终应分为敏感数据和非敏感数据,只有具有合理合法的业务流程原因的授权员工才能浏览。根据人物角色的管理权限和“根据需要”,将有利于保护你的数据。强烈要求自始至终使用多重身份认证的非共享资源的登录名和密码,可以对每一个客户进行身份认证。此外,每年至少进行一次浏览验证;这将确保适当的访问限制呈现给正确的人。
4。有没有适合灾难恢复和数据备份的自然环境?
在当今的数据世界中,有必要为灾难恢复(DR)和数据备份提供一个自然的环境。灾难恢复和业务连续性(BC)计划必须及时,所有相关员工都应了解自己的角色。而且DRBC计划要每年测试一次,然后总结成功的经验。将制造和备份数据部分相隔数百英里,可以提高数据在遭遇洪水或人为灾难时的安全系数。
5。是否进行了系统漏洞、风险、渗透等审计评估?
评估工作应以全年为重点。你的精英团队应该在自然环境和实际 *** 作区域中评估信息管理系统。对所有财产(内部和外部)进行这种评估至关重要。您的分析应该分为五个过程:
确定财产并阐明其优先顺序。
区分谢威
识别系统漏洞
分析 *** 纵
掌握恶性事件发生的概率,以及威胁可能对你的系统软件造成的危害。
6。是否有删除或销毁数据的步骤?
无论是谁在处理你的数据,都应该有一个数据保存计划。制定计划将确保您在一定时间内删除数据。在制定了数据保存计划并了解了可以删除的内容后,您应该遵循正确删除和销毁数据的最佳安全实践。遵守国家标准,如国家工业标准和技术研究所(NIST),将确保您的员工知道如何以及何时销毁和删除数据。所有符合NIST800-88数据清理手册的方法都应被批准应用。
7。您是否创建了恶性事件响应精英团队和数据泄露计划?
您的公司应该有一个强大的恶意事件响应(IR)和数据泄漏计划,并且应该每年进行测试。IR精英团队的职责应该是管理IR步骤,防止攻击,并在恶性事件发生时避免进一步的损害,为了更好地避免攻击的再次发生而进行改进,并报告所有安全事故的结果。
您的内部计划应根据域管理器制定,并包括以下三个环节:
第一阶段:检查、评估和分类。
第二阶段:反抗,收集直接证据,分析调查,抢救。
第三阶段:补、修、思。一定要马上通知客户,这个要在你的协议里详细描述。
8。你在记录安全事故吗?
应开启系统日志功能,为所有敏感数据浏览创建足够的财务审计跟踪。系统日志也应该在程序运行级别实现。应完成全自动财务审计跟踪,重构系统软件的恶性事件,并通过各种方法保持不变。应选择文件一致性监督,以确保所有客户数据的安全性、保密性、一致性和可用性。
9。您是否在不断升级您的隐私政策?
你的公司必须提前掌握它收集的信息。您应该严格执行新的安全和隐私保护要求,以防止所有法律问题。如果您的组织已经收集了相关客户的所有数据(例如,IP详细地址、位置等。),那么您的隐私保护措施必须可供所有客户使用。您的隐私政策应充分考虑所有关键利益相关者、法律和监管精英团队、销售团队和安全因素问题。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)