搜索
搜索

關于

/
/
硬核解讀 | 隱私保護系列標準之NIST 隱私框架1.0(上)
全部分類

硬核解讀 | 隱私保護系列標準之NIST 隱私框架1.0(上)

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-16 15:13
  • 訪問量:

【概要描述】

硬核解讀 | 隱私保護系列標準之NIST 隱私框架1.0(上)

【概要描述】

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-16 15:13
  • 訪問量:
詳情
 
 
前 言
 
網御星云安全咨詢團隊一直關注國內外安全體系、模型、框架的演進,并善于結合國內行業特點,保持獨立、中立和客觀的立場,為用戶量身定制咨詢方法論,提供特有且合規的安全咨詢服務。本文僅對NIST隱私框架1.0進行了初步解讀,希望給業內同行帶來一些思考,我們將持續跟進該模型,歡迎大家共同探討。
 
NIST隱私框架1.0建立背景
 
 
互聯網信息技術20多年來的高速發展,推動了前所未有的大規模個人數據流動與社會經濟創新,也帶來了網絡安全風險。一方面,個人容易忽視使用系統和產品服務時可能造成的隱私侵害;另一方面,組織也比較難評估與管理由互聯網信息技術的發展對個人、社會造成的影響及潛在風險后果。
 
在此背景下,美國國家標準與技術研究所(NIST)于2020年1月16日發布了隱私框架(NIST Privacy Framework: A Tool For Improving Privacy Through Enterprise Risk Management)1.0版本,該框架是一個通過企業風險管理提高隱私保護能力的安全工具,能夠優化概念設計支持的隱私工程實踐,幫助企業或組織保護個人隱私,以便其更好地遵守相關隱私法律與政策,包括歐洲的GDPR。
 
NIST隱私框架1.0解讀
 
 
隱私框架為理解、管理和與內外部利益相關者溝通隱私風險提供了一種通用語言,可以適應任何組織在數據處理生態系統中的角色,用來幫助確定降低隱私風險的行動并確定其優先級,用于調整管理該風險的策略、業務和技術方法。
 
隱私框架概覽
 
隱私框架的主要由核心層(Core)、概要層(Profiles)和實現層(Implementation Tiers)三部分組成。
 
 
核 心 層
 
核心層是指一系列隱私保護的行動和結果,是在組織內跨部門從行政管理層到執行層按照優先級來傳達的。根據不同功能,核心層進一步被分成了各自獨立的關鍵目錄和子目錄。
 
 
核心要素需功能、類別和子類別協同工作:
 
> 功能在其最高水平組織基礎隱私活動。通過理解和管理數據處理、支持風險管理決策、確定如何與個人互動以及通過從以前的活動中學習改進來幫助組織表達其對隱私風險的管理。
 
> 類別是將一個功能細分為與程序需求和特定活動密切相關的隱私結果組。
 
> 子類別進一步將一個類別分為技術或管理活動的具體成果,提供了一套結果,雖然不是詳盡無遺,但有助于支持每一類成果的實現。
 
下面定義的5個功能可用于管理數據處理過程中產生的隱私風險,五個隱私框架功能定義如下:
 
> Identify-提高組織對數據處理過程中個人隱私風險管理的理解。Identify中的活動是有效使用隱私框架的基礎。清查處理數據的情況,了解組織直接或間接服務以及受其影響的個人隱私利益進行風險評估,使組織能夠了解其經營的業務環境,并確定和優先考慮隱私風險。
 
> Govern-制定并實施組織治理結構,以便持續了解由隱私風險告知的組織風險管理優先級。Govern同樣是基礎性的,但側重于組織層面的活動,如建立組織隱私價值和政策,確定法律/法規要求,理解組織風險容忍度,使組織能夠集中和優先考慮其努力,符合其風險管理策略和業務需求。
 
> Control-制定和實施適當的活動,使組織或個人能夠以足夠的粒度管理數據,以管理隱私風險。 Control從組織和個人的角度考慮數據處理管理。
 
> Communicate-制定并實施適當的活動,使組織和個人能夠可靠地理解并參與有關數據處理方式和相關隱私風險的對話。Communicate認識到組織和個人可能都需要知道如何處理數據,以便有效地管理隱私風險。
 
> Protect-制定并實施適當的數據處理保障措施。Protect包括數據保護,以防止與網絡安全相關的隱私事件,隱私和網絡安全風險管理之間的重疊。
 
概 要 層
 
概要層代表了一個組織目前采取的隱私保護行動或所期望的結果。為了完善這個概要層,組織可根據自身業務要求、在整個數據處理生態系統的角色、數據處理的類型,以及個人隱私需要來審查核心層中的所有結果和活動,以確定哪些是需重點關注的對象。組織可以根據需要來創建或添加“功能”、“關鍵目錄”和“子目錄”。概念層可實現通過比較“當前”與“目標”概要來確定改善隱私處理現狀的機會,同時概要層還能被用來進行自我評估以及在組織內部或在各組織間溝通如何管理隱私風險。
 
隱私框架沒有規定概要層模板以允許實施過程中的靈活性,根據隱私框架基于風險的方法,組織可能不需要實現核心中反映的所有結果或活動。在開發概要層時,組織可以根據其特定需要選擇或調整功能、類別和子類別,包括開發自己的附加功能、類別和子類別,以考慮獨特的組織風險。組織通過考慮其使命或業務目標、隱私價值和風險承受能力、在數據處理生態系統或行業部門中的角色、法律/法規要求和行業最佳實踐、風險管理優先事項和資源來確定這些需求,以及直接或間接受到組織系統、產品或服務影響的個人的隱私需求。
 
 
概要層的開發沒有指定的順序。一個組織可以首先開發一個目標概要,以便關注其隱私方面的預期結果,然后開發一個當前概要以確定差距;或者,一個組織可以首先確定其當前活動,然后考慮如何根據其目標概要調整這些活動。一個組織可以選擇為不同的角色、系統、產品或服務或個人類別(如員工、客戶)開發多個概要,以便在可能存在不同程度隱私風險的情況下更好地確定活動和結果的優先級。某個行業部門的組織或在數據處理生態系統中具有類似角色的組織可以協調開發通用概要層。
 
實 施 層
 
實施層為組織如何看待隱私風險,是否有完備的流程和足夠的資源來管理風險提供了參考點。實施層反映了從非正式的、被動的應對到敏銳的、有風險告知的處理過程。當選擇一個實施層,組織應該考慮到其“目標概要”,以及當前風險管理實踐如何推進或阻礙績效、隱私風險和自身的風險管理機制的結合程度、數據處理生態系統關系以及員工的構成和培訓項目。
 
實施層有四個不同的層次:部分(第1層)、風險告知(第2層)、可重復(第3層)和自適應(第4層)。每個層次代表一個進展,雖然處于第1層的組織可能會從遷移到第2層中受益,但并非所有組織都需要實現第3層或第4層,或者可能只關注這兩層中的某些區域。當組織當前層的流程或資源可能不足以幫助其管理隱私風險時,升級到更高層是適當的選擇。
 
一個組織可以使這些層在內部就向更高層發展所需的資源分配進行溝通,或者作為衡量其管理隱私風險能力進展的一般基準。組織還可以使用層來了解數據處理生態系統中其他組織的資源和過程的規模,以及它們如何與組織的隱私風險管理優先級保持一致。盡管如此,成功實施隱私框架的基礎是實現組織目標概要中描述的結果,而不是層次確定。
 
通過這個框架,組織可以在其中找到關于如何進行隱私風險管理的具體操作步驟,以便幫助組織實現隱私目標。當然,如果組織希望通過設計隱私保護強度來提供更好的產品或服務,并以此來提高客戶信任程度的話,組織也同樣可以利用這個框架實現這一目的。
 
 
 
以上是隱私保護系列標準之NIST隱私框架初步介紹,接下來還將推出NIST隱私框架的相關應用解讀,敬請期待!
 
 
參考材料
NIST Privacy Framework: A Tool For Improving Privacy Through Enterprise Risk Management.
https://www.nist.gov/news-events/news/2020/01/nist-releases-version-10-privacy-framework
 

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网