© 2012 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
1
数据安全风险评估方法及实施指南
中国信通院安全研究所数据安全研究部
刘明辉
2019年7月
© 2012 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
2
cO N T E N T S
目 录
4
数据安全风险评估实施指南
3
数据安全风险评估方法
2
1
背景
2
信息安全风险评估理论
3
欧美数据保护相关法律和监管已经引入风险控制思想
欧美数据保护相关法律法规或监管实践,对数据安全的要求,多是从风险控制
角度进行规定,从有效控制风险角度判断企业是否履行了合规责任。
欧盟《一般数据保护条例》(GDPR)
第32条
处理过程中的安全性
1、考虑行业现状、实施成本、处理性质、范围、目的,以及处理活动可能的风险和
处理可能给自然人权利自由造成影响的程度,控制者、处理者应当实施适当的技术
性和组织性措施,以确保与风险相适应的安全等级,视情况而定包括:
(a)个人数据的匿名化和加密;
(b)确保处理系统和服务的保密性、完整性、可用性以及系统可恢复性的能力;
(c)在发生物理或技术故障的情况下,个人信息的恢复可用性及可访问性;
(d)对技术性及组织性措施的有效性定期进行测试、访问、评估,以确保处理过程
的安全性。
4
欧美数据保护相关法律和监管已经引入风险控制思想
美国《2018年加州消费者隐私法案》(CCPA)
1798.150 (a)(1)任何消费者如其在第1798.81.5节(d)条(1)款
(A)项下所定义的未加密或未经处理的个人信息,由于企业违反义务而未
实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息,
从而遭受了未经授权的访问和泄露、盗取或披露,则消费者可因以下任何
一项而提起民事诉讼:
(A)为每个消费者每次事件赔偿不少于100美元且不超过750美元的损
害赔偿金或实际损害赔偿金,以数额较大者为准。
(B)禁止令或宣告性法律救济。
(C)法院认为适当的任何其他救济。
5
欧美数据保护相关法律和监管已经引入风险控制思想
执法(Law Enforcement)
实施综合的隐私安全计划
两年一次的专家评估
对消费者进行赔偿
追缴违法所得
删除非法获取的消费者信息
为消费者提供强有力的透明度和选择机制
罚款(Civil Penalties)
如果一家公司违反了FTC的命令或COPPA,FTC可
以据此对这家公司进行民事罚款。
其他措施(Other tools)
开展相关研究
发布报告
举办研讨会
起草教育消费者和公司的宣传资料
……
美国联邦贸易委员会(FTC)是美国事实上数据保护监管机构,依据《联邦贸
易委员会法》第5部分赋予其的职责,开展数据保护(隐私保护)监管实践。
- 1
- 2
- 3
- 4
- 5
- 6
前往页