搜索
搜索

关于

/
/
硬核解读 | 隐私保护系列标准之NIST 隐私框架1.0(上)
全部分类

硬核解读 | 隐私保护系列标准之NIST 隐私框架1.0(上)

  • 分类:公司新闻
  • 作者:
  • 来源:
  • 发布时间:2020-03-16 15:13
  • 访问量:

【概要描述】

硬核解读 | 隐私保护系列标准之NIST 隐私框架1.0(上)

【概要描述】

  • 分类:公司新闻
  • 作者:
  • 来源:
  • 发布时间:2020-03-16 15:13
  • 访问量:
详情
 
 
前 言
 
网御星云安全咨询团队一直关注国内外安全体系、模型、框架的演进,并善于结合国内行业特点,保持独立、中立和客观的立场,为用户量身定制咨询方法论,提供特有且合规的安全咨询服务。本文仅对NIST隐私框架1.0进行了初步解读,希望给业内同行带来一些思考,我们将持续跟进该模型,欢迎大家共同探讨。
 
NIST隐私框架1.0建立背景
 
 
互联网信息技术20多年来的高速发展,推动了前所未有的大规模个人数据流动与社会经济创新,也带来了网络安全风险。一方面,个人容易忽视使用系统和产品服务时可能造成的隐私侵害;另一方面,组织也比较难评估与管理由互联网信息技术的发展对个人、社会造成的影响及潜在风险后果。
 
在此背景下,美国国家标准与技术研究所(NIST)于2020年1月16日发布了隐私框架(NIST Privacy Framework: A Tool For Improving Privacy Through Enterprise Risk Management)1.0版本,该框架是一个通过企业风险管理提高隐私保护能力的安全工具,能够优化概念设计支持的隐私工程实践,帮助企业或组织保护个人隐私,以便其更好地遵守相关隐私法律与政策,包括欧洲的GDPR。
 
NIST隐私框架1.0解读
 
 
隐私框架为理解、管理和与内外部利益相关者沟通隐私风险提供了一种通用语言,可以适应任何组织在数据处理生态系统中的角色,用来帮助确定降低隐私风险的行动并确定其优先级,用于调整管理该风险的策略、业务和技术方法。
 
隐私框架概览
 
隐私框架的主要由核心层(Core)、概要层(Profiles)和实现层(Implementation Tiers)三部分组成。
 
 
核 心 层
 
核心层是指一系列隐私保护的行动和结果,是在组织内跨部门从行政管理层到执行层按照优先级来传达的。根据不同功能,核心层进一步被分成了各自独立的关键目录和子目录。
 
 
核心要素需功能、类别和子类别协同工作:
 
> 功能在其最高水平组织基础隐私活动。通过理解和管理数据处理、支持风险管理决策、确定如何与个人互动以及通过从以前的活动中学习改进来帮助组织表达其对隐私风险的管理。
 
> 类别是将一个功能细分为与程序需求和特定活动密切相关的隐私结果组。
 
> 子类别进一步将一个类别分为技术或管理活动的具体成果,提供了一套结果,虽然不是详尽无遗,但有助于支持每一类成果的实现。
 
下面定义的5个功能可用于管理数据处理过程中产生的隐私风险,五个隐私框架功能定义如下:
 
> Identify-提高组织对数据处理过程中个人隐私风险管理的理解。Identify中的活动是有效使用隐私框架的基础。清查处理数据的情况,了解组织直接或间接服务以及受其影响的个人隐私利益进行风险评估,使组织能够了解其经营的业务环境,并确定和优先考虑隐私风险。
 
> Govern-制定并实施组织治理结构,以便持续了解由隐私风险告知的组织风险管理优先级。Govern同样是基础性的,但侧重于组织层面的活动,如建立组织隐私价值和政策,确定法律/法规要求,理解组织风险容忍度,使组织能够集中和优先考虑其努力,符合其风险管理策略和业务需求。
 
> Control-制定和实施适当的活动,使组织或个人能够以足够的粒度管理数据,以管理隐私风险。 Control从组织和个人的角度考虑数据处理管理。
 
> Communicate-制定并实施适当的活动,使组织和个人能够可靠地理解并参与有关数据处理方式和相关隐私风险的对话。Communicate认识到组织和个人可能都需要知道如何处理数据,以便有效地管理隐私风险。
 
> Protect-制定并实施适当的数据处理保障措施。Protect包括数据保护,以防止与网络安全相关的隐私事件,隐私和网络安全风险管理之间的重叠。
 
概 要 层
 
概要层代表了一个组织目前采取的隐私保护行动或所期望的结果。为了完善这个概要层,组织可根据自身业务要求、在整个数据处理生态系统的角色、数据处理的类型,以及个人隐私需要来审查核心层中的所有结果和活动,以确定哪些是需重点关注的对象。组织可以根据需要来创建或添加“功能”、“关键目录”和“子目录”。概念层可实现通过比较“当前”与“目标”概要来确定改善隐私处理现状的机会,同时概要层还能被用来进行自我评估以及在组织内部或在各组织间沟通如何管理隐私风险。
 
隐私框架没有规定概要层模板以允许实施过程中的灵活性,根据隐私框架基于风险的方法,组织可能不需要实现核心中反映的所有结果或活动。在开发概要层时,组织可以根据其特定需要选择或调整功能、类别和子类别,包括开发自己的附加功能、类别和子类别,以考虑独特的组织风险。组织通过考虑其使命或业务目标、隐私价值和风险承受能力、在数据处理生态系统或行业部门中的角色、法律/法规要求和行业最佳实践、风险管理优先事项和资源来确定这些需求,以及直接或间接受到组织系统、产品或服务影响的个人的隐私需求。
 
 
概要层的开发没有指定的顺序。一个组织可以首先开发一个目标概要,以便关注其隐私方面的预期结果,然后开发一个当前概要以确定差距;或者,一个组织可以首先确定其当前活动,然后考虑如何根据其目标概要调整这些活动。一个组织可以选择为不同的角色、系统、产品或服务或个人类别(如员工、客户)开发多个概要,以便在可能存在不同程度隐私风险的情况下更好地确定活动和结果的优先级。某个行业部门的组织或在数据处理生态系统中具有类似角色的组织可以协调开发通用概要层。
 
实 施 层
 
实施层为组织如何看待隐私风险,是否有完备的流程和足够的资源来管理风险提供了参考点。实施层反映了从非正式的、被动的应对到敏锐的、有风险告知的处理过程。当选择一个实施层,组织应该考虑到其“目标概要”,以及当前风险管理实践如何推进或阻碍绩效、隐私风险和自身的风险管理机制的结合程度、数据处理生态系统关系以及员工的构成和培训项目。
 
实施层有四个不同的层次:部分(第1层)、风险告知(第2层)、可重复(第3层)和自适应(第4层)。每个层次代表一个进展,虽然处于第1层的组织可能会从迁移到第2层中受益,但并非所有组织都需要实现第3层或第4层,或者可能只关注这两层中的某些区域。当组织当前层的流程或资源可能不足以帮助其管理隐私风险时,升级到更高层是适当的选择。
 
一个组织可以使这些层在内部就向更高层发展所需的资源分配进行沟通,或者作为衡量其管理隐私风险能力进展的一般基准。组织还可以使用层来了解数据处理生态系统中其他组织的资源和过程的规模,以及它们如何与组织的隐私风险管理优先级保持一致。尽管如此,成功实施隐私框架的基础是实现组织目标概要中描述的结果,而不是层次确定。
 
通过这个框架,组织可以在其中找到关于如何进行隐私风险管理的具体操作步骤,以便帮助组织实现隐私目标。当然,如果组织希望通过设计隐私保护强度来提供更好的产品或服务,并以此来提高客户信任程度的话,组织也同样可以利用这个框架实现这一目的。
 
 
 
以上是隐私保护系列标准之NIST隐私框架初步介绍,接下来还将推出NIST隐私框架的相关应用解读,敬请期待!
 
 
参考材料
NIST Privacy Framework: A Tool For Improving Privacy Through Enterprise Risk Management.
https://www.nist.gov/news-events/news/2020/01/nist-releases-version-10-privacy-framework
 

扫二维码用手机看

这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版权所有:北京网御星云信息技术有限公司    京ICP备05080314号     

这是描述信息