安全和隱私是企業內部容易起沖突的兩個方面。舉個較常見的例子,對接入企業網絡的員工設備進行配置和管理是企業IT團隊一項頗為常規的工作,為了安全起見,管理員往往會設置策略,但涉及隱私時往往會引起員工的不理解。
為了順利協調二者,企業需要更好地理解隱私和安全各自的界定以及連接二者的有效方式。
在保護信息資產方面,安全和隱私起到極為重要的作用,不過二者程度有異。信息安全負責處理數據的訪問和保密性;隱私涉及法律、合規和風險,他們有沖突的地方,也能夠互為補充。
引用SANS對信息安全的定義是“設計和實施以保護打印、電子或任何其他形式的機密、私人和敏感信息或數據免遭未經授權的訪問、使用、誤用、泄露、破壞、修改或中斷的過程和方法”;COBIT 5對隱私的界定是“企業收集、存儲和發布其收集的個人信息的方式”,隱私政策要求“告知客戶其收集的具體信息,是否進行保密處理、是否與合作伙伴共享或出售給其他公司或企業”,此外,還要遵守數據保護相關的立法。
連接隱私和信息安全的風險和合規性。企業應對隱私進行隱私影響評估,負責收集個人信息、說明如何維護、保護以及共享該信息。然后采用相應的保護,以確保其符合隱私影響評估中界定的風險和合規性級別。唯有平衡好隱私性和安全性才能更好地為保護企業信息資產做貢獻。
京公網安備 11010502049343號