个人数据泄露
是指导致传输、存储或以其他方式处理的个人数据遭到意外或非法破坏、丢失、更改、未经授权披露或访问的违反安全之事宜。
与应用程序安全性有关,并要求企业在其产品和服务的设计和开发过程中保护个人数据的GDPR章节为
第25条,通过设计和默认方式进行数据保护-要求“控制者应采取适当的技术和组织措施,以确保默认情况下仅处理处理每个特定目的所需的个人数据。”
第32条,处理的安全性-要求企业保护其系统和应用程序“免受意外或非法破坏、丢失、更改、未经授权披露或访问个人数据”。
3.1.2. CCPA《California Consumer Privacy Act》, 简称《CCPA》。 加州是世界第五大经济体,与 GDPR 类似,CCPA 的影响范围是全球性的。 在2020年1月1日,在加利福尼亚州开展业务的公司或组织将必须遵守该州严格的新隐私法,该法律为每个加利福尼亚州居民建立了合法且可执行的隐私权,于2020年7月1日起正式实施。
营利性企业如果收集加州居民的个人信息,并满足以下任何一条,则需要合规:
年营业额超过2500万美元;
购买、获取、销售达到或超过5万个消费者、家庭和设备的信息;
超过50%的年度营收由销售消费者个人信息获得
CCPA为加利福尼亚消费者的个人数据提供以下保护:
所有权:保护消费者有权告诉企业不要共享或出售个人信息的权利;
控制:提供消费者对收集到的有关他们的个人信息的控制权;
安全:要求企业负责保护个人信息。
3.1.3. GDPR vs CCPA
尽管CCPA的范围与GDPR有所不同,但它们都授予了消费者控制和否决其数据使用的相关权利。两项法规都要求公司安全地存储数据,对收集的个人数据类型保持透明,并管理消费者删除个人数据的请求(“被遗忘的权利”),这意味着能够从整个系统的所有系统中删除个人数据。相同之处包括:
透明度/披露义务;
消费者访问、删除和接收数据副本的权利;
“服务提供商”的定义,它与 GDPR 定义具有类似合同义务的“处理者”的方式一样;
“公司”的定义,它包含了 GDPR 对“控制者”的定义。
CCPA 中最大的差别是,准许选择不出售数据给第三方的这一核心要求(其中,“出售”广义定义为包含共享数据来换取有值对价的行为)。 与反对数据处理的广义 GDPR 权利相比,该项义务范围更窄且更具体,它包含此类型的“出售”,但并未特别局限于包含此类型的共享。 CCPA要求用户具有选择性退出的能力,而不是需要在收集个人身份信息(PII)之前获得明确同意的能力。
3.2. NIST Special Publication 800SP800是美国NIST(National Institute of Standards and Technology)发布的一系列关于信息安全的指南(SP是Special Publications的缩写)。它们专门为美国联邦机构提供基线和框架,是联邦信息安全管理法案(FISMA)合规性的重要组成部分。
在NIST的标准系列文件中,虽然NIST SP并不作为正式法定标准,但在实际工作中,已经成为美国和国际安全界得到广泛认可的事实标准和权威指南。NIST SP800系列成为了指导美国信息安全管理建设的主要标准和参考资料。
大家重视这个框架有以下原因:
它比ISO 27002略为全面,因为它包括选择控制和评估安全性的过程(通过NIST SP 800-53A),以及修订版5中与隐私相关的特定控制,这使得NIST 800系列几乎成为一个现成的安全计划。
许多美国组织更喜欢使用NIST框架。向联邦机构提供服务的组织,必须遵守NIST SP 800-171,该标准与NIST SP 800-53紧密结合。使用NIST SP 800-53作为初步或扩展到800-171合规性,是合乎逻辑的步骤。
目前,NIST SP 800系列已经出版了近176个同信息安全相关的正式文件,形成了从计划、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系。
3.2.1. NIST SP800-532020/10/12, NIST SP 800-53:联邦信息系统和组织机构的安全和隐私控制(Security and Privacy Controls for Information Systems and Organizations)。
随着计算机信息系统和设备日益复杂,2017年美国防科学委员会(Defense Science Board(DSB))的网络威胁工作组提交的报告显示,对美国关键基础架构和支持任务必需的操作和公共和私营部门资产的信息系统中的漏洞对系统的威胁更大。因此迫切需要一种更加主动和系统的方法来应对美国的网络威胁,进一步加强国家在关键基础架构的每个部门中依赖的基础信息系统、组件产品和服务。 确保这些系统、组件和服务足够值得信赖,并提供必要的弹性来支持美国的经济和国家安全利益。