隐私保护与IT技术应该了解10件事

申请免费试用、咨询电话：400-8352-114

目前，IT技术在保护公司数据安全和个人隐私信息方面担负巨大责任。本文介绍了在IT技术组织的日常工作中，隐私保护已经变得多么重要与深入人心。个人隐私已经成为大众关注的焦点。频繁的数据破坏、身份窃取以及诸如钓鱼式攻击欺骗已经给大量公司和消费者带来负担，并严重威胁网络和电子商务服务的可信度。

调查表明，将近半数美国居民对已采取足够措施保护个人信息安全几乎没有信心，伴随这种信心缺乏的是日益增长的复杂网络犯罪。很难说清楚，谁是合法的，但越来越多的用户成为网络的受害者。让我们看几个隐私保护问题，了解它们是如何影响IT技术。

#1：公布泄密的数据：这是法律规定

美国一部分州规定所有组织、个人以及商家在他们的私人信息确认已被某个未授权者获得时，应当向居民公布这个消息。当一个组织拥有的个人信息已经被泄密时，该组织必须公开向大家公布。2003年，加利福尼亚州通过了一项法案，该法案要求所有组织在它们遭受到可能导致个人信息泄密风险的数据安全破坏时，应当通知居民。最近，有28个州通过了类似法案，其它超过15个州的安全破坏通知法案也是迫在眉睫。数据安全破坏通知的代价是昂贵的，因为这通常要每个人交罚单。

#2：客户忠诚度直接取决于个人信息安全

当顾客确信他们的个人和财务信息是受保护的，不会被未授权者非法获得时，他们就会使用网络购物、网上银行、电子政务、网上医疗和其它服务。当这种信任被破坏时，顾客的忠诚度会在一夜间崩溃。身份窃取和其它的欺诈所带来的代价太大了，那些因泄密私人信息而失去顾客信任的公司，其它公司将不会与其做生意。

在2001和2004年间，有关部门采取了超过196项法律行动来处理隐私保护问题，有255家公司成为被告，包括金融服务、健康医疗、医药卫生、信息服务、电子商务、制造、媒体、零售等行业，有超过33类犯罪案件提起诉讼。以下是有些网络用户如何看待隐私的有趣数字：

86%的人关心个人信息保密。
45%的人从未向网站提供真实姓名。
5%的人利用软件隐藏计算机真实信息。
86%的人支持在使用数据前的身份验证许可为“选择输入”。
94%的人希望惩罚破坏隐私者。

#3：IT 程序在隐私保护中负有重要责任

当开发一个系统时，有以下几点需要考虑：

确定你要使用的包括个人身份识别信息的数据类型，这包括用户姓名，电子邮件地址，健康状况和信用卡号或者社会安全号等。不要收集不必要的数据。明确如何实现通知用户可能要收集他们的个人信息的机制，并向他们提供选择方式不参加那些和许可那些数据信息收集。可能还要求签订一个不参加确认记录。确定系统敏感点所在：在应用系统，数据库，无线网络，web访问或者其它接口。确定防止个人身份识别信息被误用或被未授权访问的措施，包括访问控制，加密，物理安全，审计。加密可能是最好的防御措施，当一个加密的膝上电脑被盗时，至少数据是受到保护的。

#4：数据分类策略是必要的

现今，数据管理员已成为组织信息的专业管理人员，组织要求他们把数据看作重要资产加以维护和管理。他们根据数据描述或提供的数据进行数据管理。一个组织应该有一个确定的数据分类策略，秘密的、公开的、明确定义最重要的或秘密的数据。这种策略的一个重要组成部分是数据安全规划，它将用以处理可预见的对于保存在部门系统中的集成信息安全威胁。个人身份识别信息控制与存取是最近美国隐私保护立法的主题。欧盟也有保护个人身份信息的明确要求。

#5：识别关键系统有助于风险分析

一旦你对数据如何分类有了清楚的了解，并且识别出潜在的数据安全威胁，就可以对管理数据的系统进行更详细的集成数据安全风险分析。进行这类活动的好处是使你对主要IT技术和系统的风险等级有良好的分类，这就允许你将精力主要集中于潜在高风险区域。按照管理规则要求的对包含重要数据的关键系统进行审计控制是一个良好的方法。
#6：公司担负举证的责任

你遭受过黑客攻击吗？它是成功的吗？哪些数据受到影响？影响了多少用户？哪些国家？即使不成功的攻击也必须公之于众，除非给组织能够证明没有个人信息被未授权方获得或访问。因此，一个组织的入侵检测与防范系统必须是有效的，并能够生成可靠的有效记录信息。

如果一个公司得出结论认为，某个安全事件没有导致未授权访问个人信息，但是客户却由于该攻击事件遭受身份窃取，该公司可能被发现是在撒谎。揭露和报告安全破坏事件肯定会使公司财政收入受到影响，仅通知一项每次事件就会花费每个客户大约100美元，因此如果10000名客户受到影响，该事件将至少花费10万美元。

#7:首席信息安全执行官负责处理隐私安全问题

首席信息安全执行官的主要职责是建立客户和员工的隐私保护策略及调查和查理相关事件。在一个大型组织中，首席信息安全执行官通常管理一个隐私保护委员会，负责提供管理事件指导，隐私保护策略、安全警告、以及其它相关问题。在一个可能影响随从的技术或业务决定的需要做出时，首席信息安全执行官责无旁贷。现今，首席信息安全执行官的工作十分繁忙。法律领域的问题常常影响IT技术，IT技术负责对隐私保护问题寻求解决办法，诸如智能加密。

#8：隐私安全事件管理可以防止未来的风险

谁发出通知？什么时候？隐私安全事件管理不像其它事件的反应机制那样能够在事件发生时发出通知。通知要求可能在规章中清楚地说明，但是实际的通知可能仍是一个费劲的过程。首席信息安全执行官可能要求事件反应小组确定事件的发生原因和严重程度，并公布调查结果。调查事件查找发生根源的一个重要结果是修复系统，并能够在将来防止发生类似威胁。

#9:界限变得越来越模糊

谁应该负责？在组织之间进行业务往来的过程中什么时候可以数据共享？如果由你们组织内的一个外部采购人员致使数据安全破坏将会怎样？如果你们公司员工的401K数据信息保存在提供这部分数据的某员工的不安全膝上电脑中，结果膝上电脑被盗，谁应该负担责任？

IT外部采购是经常的，但是当你的一个员工或销售人员在付费时碰巧将优盘丢在柜台上，谁负责任来保护你的信息？如果这个优盘里面存有不安全的隐私信息，这个失误可能导致一场数据破坏。

在与第三方签订的所有IT技术协议包括隐私和安全条款是十分重要的。事件不可能总被预防，但是如果你签订了一份合适的协议的话，就可以获得一定补偿。协议中的数据安全条款正变得越来越普遍，如果必要的话，使用你的法律武器。

#10：白领犯罪威胁隐私安全

出售个人信息存在广阔空间，尤其是信用卡卡号。每个ID号的平均价格是50美元。网络犯罪体系的复杂性超出人们的想象，RSA安全公司的市场营销员，马克.戈凡，在他的文章“网络经济犯罪已不是秘密”中对这个问题进行了描述。网络犯罪是一个有组织的犯罪体系，他们有各种角色和明确的分工，还有通讯方式，加入条件，甚至有自己的“道德规范”。这是一个完整的有助于进行欺诈的利益链条，仅在最后将行动变成金钱时才真正表现出来他们的犯罪事实。

一个名叫 TalkCash.net的网站是一个骗子们的集会平台，要想成为其中一员，申请时需要提交一些信用卡号以显示他或她是一个真正的“骗子”。这个网站已被关闭。由全国白领犯罪中心发起的2005年全国白领犯罪调查显示，在过去的12个月中，几乎半数美国家庭成为白领犯罪的受害者。美国联邦调查局做了不少工作。想获得你所在州的2005年网络犯罪报告，请访问：www.ic3.gov/media/annualreports.aspx  (zdnet)