搜索
搜索

關于

/
/
/
硬核解讀 | 隱私保護系列標準之NIST隱私框架1.0(下)
全部分類

硬核解讀 | 隱私保護系列標準之NIST隱私框架1.0(下)

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-18 15:37
  • 訪問量:

【概要描述】

硬核解讀 | 隱私保護系列標準之NIST隱私框架1.0(下)

【概要描述】

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-18 15:37
  • 訪問量:
詳情
 
在之前的文章中,我們聊過了NIST隱私框架 1.0的建立背景和框架概覽。今天,我們將在此基礎上針對 NIST隱私框架 1.0 的相關應用進行深入解讀。
 
網絡安全和隱私風險的關系
 
NIST隱私框架1.0版本是NIST網絡安全框架的有利補充,組織可以很好地利用這兩大工具,進行隱私風險管理,幫助組織更好地分析隱私風險帶來的潛在影響,并根據不同的方法來降低、轉移風險,以便更好地應對網絡安全和隱私風險所帶來各類已知及未知的不同挑戰,并提供更為有效的解決方案。
 
 
隱私風險評估
 
 
隱私風險評估是識別和評估特定隱私風險的子過程。一般來說,隱私風險評估產生的信息可以幫助組織權衡數據處理的益處和風險,并確定適當的應對措施,有時稱為相稱性。根據對個人的潛在影響和由此對組織造成的影響,組織可以選擇以不同的方式優先考慮和應對隱私風險。響應方法包括:
 
> 降低風險(例如,組織可以對系統、產品或服務應用技術或政策措施,將風險降低到可接受的程度);
 
> 轉移或分擔風險(例如,合同是向其他組織分擔或轉移風險的手段,隱私通知和同意機制是與個人分擔風險的手段);
 
> 避免風險(例如,組織可能確定風險大于收益,放棄或終止數據處理);
 
> 接受風險(例如,組織可以確定個人的問題是最小的或不太可能發生的,因此收益大于風險,不必在緩解方面投入資源)。
 
隱私風險評估尤其重要,可以幫助組織在給定的環境中理解要保護的價值、使用方法以及如何平衡不同類型措施的實施。隱私風險評估有助于組織區分隱私風險和合規風險,確定數據處理是否會給個人帶來問題,即使一個組織可能完全遵守適用的法律或法規,也有助于在系統、產品和服務設計或部署方面作出道德決策。雖然道德決策沒有客觀的標準,但它是基于特定社會的規范、價值觀和法律期望,這有助于優化數據的有益使用,同時最大限度地減少對個人隱私和整個社會的不利影響,并避免因損害組織聲譽、采用緩慢或導致產品和服務廢棄而造成的信任損失。
 
如何使用NIST隱私框架
 
 
當作為風險管理工具使用時,隱私框架可以幫助組織優化數據的有益使用和創新系統、產品和服務的開發,同時最大限度地減少對個人的不利影響。隱私框架可以幫助組織回答一個基本問題:“在開發系統、產品和服務時,我們如何考慮對個人的影響?”為了滿足一個組織的獨特需要,隱私框架的使用是靈活的,盡管其目的是補充現有的業務和系統開發操作。組織使用隱私框架的方式多種多樣,應當阻止將“遵守隱私框架”作為一個統一的或外部可參考的概念。以下介紹了使用隱私框架的一些選項。
 
OPTIONS1 加強問責
 
盡管在概念上并非隱私所獨有,問責通常被認為是一項關鍵的隱私原則。問責發生在整個組織中,可以以不同程度的抽象表示,例如作為一種文化價值,作為治理政策和程序,或者作為隱私要求和控制之間的可追溯關系。隱私風險管理可以是支持所有組織級別責任的一種手段,因為它將能夠傳達組織隱私價值觀和風險容忍度的高級管理人員與業務/流程經理級別的管理人員聯系起來,后者可以在制定和實施治理政策和程序方面進行協作支持組織隱私價值。然后,這些策略和過程可以傳達給實施/操作級別的人員,他們協作定義隱私要求,以支持在組織的系統、產品和服務中表達策略和過程。實施/運營層的人員還選擇、實施和評估控制措施,將其作為滿足隱私要求的技術和政策措施,并報告進度、差距和不足、事件管理和不斷變化的隱私風險,以便業務/流程經理層和高級管理人員能夠更好地理解并適當回應。
 
下圖提供了雙向協作和通信的圖形表示,以及如何將隱私框架的元素合并到一起以促進過程。組織就可以使用隱私框架作為支持問責制的工具,還可以將隱私框架與其他框架和指導結合使用,這些框架和指導提供了額外的實踐,以實現組織內部和組織之間的責任。
 
 
OPTIONS2建立或改進隱私程序
 
使用一個簡單的“準備、設置、運行”階段模型,隱私框架可以支持創建新的隱私程序或改進現有程序。當一個組織經歷這些階段時,可以使用參考資料來提供關于確定優先順序或實現結果的指導。
 
 
OPTIONS3應用于系統開發生命周期
 
目標概要可以與計劃、設計、構建/購買、部署、操作和廢棄的系統開發生命周期(SDLC)階段相一致,以支持實現優先級隱私結果。從計劃階段開始,優先級隱私結果可以轉換為系統,認識到需求可能在生命周期的剩余時間內演變;設計階段的一個關鍵里程碑是驗證隱私能力和要求是否符合目標概要中所述的組織需求和風險承受能力;在部署系統以驗證是否實現了所有隱私功能和要求時,該目標概要可以作為要評估的內部列表。然后,使用隱私框架確定的隱私結果應作為系統持續運行的基礎,包括不定期的重新評估,在當前概要中捕獲結果,以驗證隱私能力和要求仍然得到滿足。
 
OPTIONS4在數據處理生態系統中使用
 
管理隱私風險的一個關鍵因素是實體在數據處理生態系統中的角色,這不僅會影響實體的法律義務,而且還會影響實體為管理隱私風險可能采取的措施,下圖所示:
 
> 數據處理生態系統包含一系列實體和角色,這些實體和角色之間可能存在復雜的、多方向的相互關系和個人關系。當實體由子實體鏈支持時,復雜性可能會增加,例如,服務提供商可能由一系列服務提供商支持,或者制造商可能有多個組件供應商。
 
> 顯示了具有不同角色的實體,但有些實體可能具有多個角色,例如向其他組織提供服務和向消費者提供零售產品的組織。
 
> 角色是概念分類,一個實體的角色在實踐中可能是合法的,例如,一些法律將組織分類為數據控制器或數據處理器,或者分類可能來自行業部門名稱。
 
 
關于《隱私保護系列標準之NIST隱私框架1.0》的解讀到此就暫告一段落,之后我們還將推出國內外其他相關隱私標準解讀及研究,敬請期待!
 
參考材料
 
NIST Privacy Framework: A Tool For Improving Privacy Through Enterprise Risk Management.
 
https://www.nist.gov/news-events/news/2020/01/nist-releases-version-10-privacy-framework
 

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网