如今,許多公司在收集敏感的個人身份信息(PII),比如姓名、帳號、交易及其他財務信息,并用于幾乎每一個客戶和內部企業職能方面:人力資源、市場銷售、客戶支持、技術支持、產品開發、投資者關系和法規遵從等等。許多公司還在處理與必須嚴加保護的知識產權和商業秘密有關的敏感數據。
由于風險很高,許多公司應該落實一套相應程序,以便盡量減小數據泄密的可能性;而且萬一數據泄密出去,以便減輕危害。本文列出了每家公司都應該采取的五個步驟,以確保自己正視并妥善管理與數據有關的風險。
現在盛行云計算,使用第三方應用服務提供商,以及將包括工資、福利、營銷及更多方面的業務職能外包出去,這種趨勢導致潛在的安全漏洞急劇增加;而且說到管理與數據有關的風險,提高了要求。
最近,重大的數據泄密案件也完全生動地表明了一旦敏感數據外泄出去,財務、法律和名譽等方面可能遭受重大危害。這些例子著重表明,如果哪家公司遇到了敏感數據擅自發布出去(不管無意還是有意)的情況,它可能至少面臨兩種索賠:一種是因敏感信息泄露而個人提出的索賠,另一種是因數據泄密而蒙受損失的債權人或其他公司提出的賠償或損害索賠。
在這個方面,預防確實遠勝于補救。
知道自己有什么數據--每家公司評估信息安全時應該采取的首要步驟之一是,詳細列出本公司在哪些地方采集、使用或保存可能敏感的數據,每一個地方都不能落下。常見的數據門戶包括:公司網站(網上的聯系人、登記資料或申請表格)、就業過程以及出于市場營銷用途而收集的信息。
搞清楚誰負責每一種信息,誰可以訪問該信息。信息是不是與外部廠商或其他的第三方機構共享?查明落實了哪些物理和技術防護措施來保護敏感數據。并制定好計劃,停止收集和銷毀公司其實不需要的個人身份信息(PII)。
了解自己履行的義務--為了保護員工和消費者,聯邦和州政府的諸多管理部門已制定了一系列隱私和數據安全法律。視處理的數據類型而定,貴公司可能需要遵守不同的法律,比如《非請求色情及廣告信息攻擊控制法案》(CAN-SPAM)、《兒童在線隱私保護法》(COPPA)、《電子通訊隱私法》(ECPA)、《公平準確信用交易法案》(FACTA)、《公平信用報告法》(FCRA)、《金融服務現代化法案》(GLBA)或《美國愛國者法案》等。可能還要根據合同,遵守相應的隱私標準。當然,聯邦貿易委員會(FTC)和各州檢察總長已經越來越嚴格地執行法律,禁止在使用收集而來的信息方面言行不一的公司采取“不公正、欺詐性的商業慣例。”
另外要注意,政府要求擁有個人信息的公司提供這類信息,這種現象越來越常見。不是每一個政府要求都是合理的,如果這個要求沒有得到正規傳票的支持,更是不合理的。任何要求都應認真予以審查;在9o11事件發生后的一段時期,政府要求電話公司協作,提供客戶信息,但電話公司都會認真審查,而不是輕易信之。
了解自己的合作伙伴--如果貴公司為其他公司處理敏感數據,或者依賴外部廠商開展需要貴公司共享數據的業務活動,那么萬一出現數據泄密,與每一家廠商簽訂的協議具體如何處理隱私性、機密性、數據保護和責任等方面的問題顯得極其重要。
知道自己是否投了保--面臨可能導致私密信息泄露的數據泄密風險,許多公司可能會向保險公司投保,盡量減少泄密事件帶來的索賠、損失和責任。因而,趁數據泄密還沒有發生,公司應該采取積極的措施,確保自己投了所需要的險種。尤其是,公司應該對自己投保的全部險種進行審計,看看有沒有遺漏的方面。
制定好計劃--首先要制定一項常規性計劃,內容主要涉及平常收集、處理、保存、共享和訪問數據的方式。其次要制定一項計劃,內容主要涉及萬一出現最糟糕的情況,盡管盡了最大的努力,但敏感數據還是丟失或失竊,公司該如何應對。
第一個計劃要包括外部的隱私和保密政策以及確保數據保護的內部政策。其次,公司應該落實一項計劃,旨在發現敏感數據的任何未授權訪問、丟失或泄密,并采取對策。這項計劃應明確誰第一個負責留意數據泄密事件,這類事件包括:電腦黑客行為;含有敏感數據的物理文件、設備或硬盤的丟失;以及公司員工或廠商濫用數據的情況。這項計劃還應該明確:一旦發現了泄密事件,公司應該如何從IT、法律、保險和公共關系等角度來應對。
雖然影響數據保護責任的因素仍充滿了不確定性,而且在不斷變化,但有一點是明確無誤的:未能保護敏感數據帶來的成本和責任在不斷加大。如果公司遵守上面這五個風險管理步驟,就能有助于降低不良數據事件帶來的風險,而且果真發生泄密事件,就能準備好減小損害。
京公網安備 11010502049343號