• <tt id="c8gu0"></tt>
  • <tt id="c8gu0"><span id="c8gu0"></span></tt>
    <tt id="c8gu0"><span id="c8gu0"></span></tt>

        <strong id="c8gu0"><span id="c8gu0"></span></strong>

        <rt id="c8gu0"></rt>
        您當前的位置:   首頁 > 新聞中心
        GDPR 合規性:與最先進的加密技術保持同步
        發布時間:2021-11-30 11:13:35   閱讀次數:

        GDPR 合規性:與最先進的加密技術保持同步(圖1)

        歐盟的《通用數據保護條例》是世界上最具影響力的隱私法。它正在激發遠超出歐洲的隱私法。此外,GDPR 還對如何使用密碼學來確保數據安全產生全球影響。


        什么是 GDPR?

        GDPR 是一項全面的隱私法。GDPR 于 2018 年生效,是歐洲隱私法的延伸,其根源可追溯到幾十年前。GDPR 要求數據持有者采取廣泛的措施來保護個人隱私,包括:


        通知個人數據的收集、使用和共享;

        • 在某些情況下銷毀數據;

        • 僅將數據用于預期目的;

        • 以隱私為明確目的的計算機系統設計。


        遵守 GDPR 需要什么?

        對于較大的組織,遵守 GDPR 可能涉及對個人數據收集和使用政策的廣泛審查和實施。完全遵守 GDPR 可能具有挑戰性,因為規則含糊不清,而且當局仍在努力解決這些規則的實際解釋問題。通常,規則是根據理想的目標而不是適用于所有情況的高度規范的步驟來說明的。


        GDPR 如何促進密碼學的不斷改進?

        GDPR 要求數據持有者保護個人信息,未能保護個人信息可能會導致 GDPR 第 32 條規定的罰款。


        根據 GDPR 當局的說法,一種重要的安全技術是密碼學。例如,根據英國監管機構在信用卡數據泄露后調查英國航空公司的說法,未能加密數據被視為 GDPR 合規性的“錯誤” 。


        但加密和密碼學是復雜、微妙的技術。加密的任何特定部署在什么時候滿足 GDPR?答案是動態的,會隨著時間而變化。這意味著它必須隨著時間的推移而改進。


        在密碼學中,最先進的技術總是在進步

        第 32 條承認適當的安全需要隨著威脅和技術的變化而發展和改進。第 32 條規定,數據持有者為保護數據而采取的步驟必須考慮到“最先進的技術”。對于密碼學,最先進的技術在不斷進步:新算法、新信任模型、新密鑰管理架構、與其他網絡安全控制的新集成。因此,隨著更好的安全技術可用,數據持有者必須考慮使用它,而不是盲目地使用舊技術。


        例如,在上面提到的英國航空公司案例中,監管機構在發現公司存在漏洞并通過一種名為“Crowdstrike Falcon”的更新、更有效的端點監控工具解決該問題時,就授予該公司信用。


        跟不上最先進技術的步伐可能是災難性的

        不出所料,大型組織廣泛使用密碼學來保護個人信息。但是,如果一個組織實施了密碼學但未能對其進行重新評估,則該組織不僅違反了第 32 條,而且還面臨新出現的威脅和漏洞。


        美國大型零售商 TJX 是組織未能領先于威脅的一個典型例子。TJX 依靠過時的 WEP 加密來保護其許多商店的內部 Wi-Fi,但眾所周知,WEP 已經過時,需要更換為 WPA 加密。黑客利用這一密碼學弱點,成功闖入該公司的企業網絡,竊取了大量信用卡數據。


        TJX 沒有達到第 32 條的授權。第 32 條呼吁像 TJX 這樣的數據持有者做更多的事情,而不是實施一項技術并忘記它。第 32 條希望數據持有者能夠跟上密碼學的變化、改進或變得脆弱。


        但在實踐中,保持最新狀態是一個模糊的想法。那么,一個組織如何多年來證明它遵守第 32 條對不斷改進密碼的期望?


        GDPR 合規性:如何跟上加密技術的進步

        以下是組織可以采取的步驟,向監管機構證明它正在采取必要的努力以保持最新狀態。


        風險評估

        組織應定期對其加密資源進行風險評估。第 32 條明確指出,它希望組織采用一種基于風險的安全方法。更大的風險需要付出更大的努力和費用。根據具體情況,風險評估可以是一份冗長、詳盡的文件,也可以是一封由安全團隊成員組成的三句話電子郵件,用于評估針對當前的特定問題應采取的措施。


        意識

        第 32 條要求持續努力以了解最新技術并考慮采用它。


        組織應積極研究密碼\密鑰技術的進步。它應該投資于密碼\密鑰管理員的培訓,以便他們能夠跟上最新的威脅和發展。


        認證

        組織應定期讓負責人員簽署一份證書,表明該組織正在做出適當的努力來重新評估和改進其加密資源。


        這個想法的靈感來自于美國聯邦信息安全現代化法案 (FISMA)和紐約金融服務部的網絡安全條例等法律。這些法律要求負責的網絡安全官員簽署符合安全要求的證書。這樣的證書是組織為遵守而付出的巨大努力的證據。但如果該官員拒絕簽字,這對高管來說是一個危險信號,需要解決問題。


        組織應進一步聘請第三方(如審計師)根據最新和未來的威脅評估加密實施的有效性。


        有效溝通

        組織應該肯定地傳達密碼學的良好部署并不意味著您達到完美狀態并保持在那里。


        一個組織很容易在內部將密碼學視為一個神奇的黑匣子,它只是實現了一個目標,而沒有進行更深入的評估。然而,組織必須認識到加密的使用是一個永無止境的過程,必須適應動態的商業環境,承認現實并尋求不斷的警惕和改進,知道永遠不會達到完美。


        關于密碼學的有效溝通可能包括政策、使命陳述、審計報告、員工培訓、向高管的演示和其他內部信息,這些信息將影響:

        • 密碼學管理員及其組織中的合作伙伴理解和執行密碼學使命的方式;

        • 審計師和監管機構如何評估密碼學的使用;

        • 高管在為密碼學分配資源和評估密碼學在管理風險中的作用時的期望;

        • 員工對威脅以及需要警惕攻擊和異常情況的看法。


        監管機構尊重合規文件

        顯示組織已采取上述步驟的文件為監管機構提供了證據,表明該組織具有遵守第 32 條的跟蹤記錄。當組織不斷努力改進密碼學時,它不僅更接近合規目標。它也更接近于在危險且瞬息萬變的世界中保持安全。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        沙巴体育外围app_软件下载

      1. <tt id="c8gu0"></tt>
      2. <tt id="c8gu0"><span id="c8gu0"></span></tt>
        <tt id="c8gu0"><span id="c8gu0"></span></tt>

            <strong id="c8gu0"><span id="c8gu0"></span></strong>

            <rt id="c8gu0"></rt>

          1. <tt id="c8gu0"></tt>
          2. <tt id="c8gu0"><span id="c8gu0"></span></tt>
            <tt id="c8gu0"><span id="c8gu0"></span></tt>

                <strong id="c8gu0"><span id="c8gu0"></span></strong>

                <rt id="c8gu0"></rt>
                沙巴足球网站 SB沙巴体育 沙巴体育|沙巴体育平台 沙巴足球平台 沙巴体育开户平台_唯一官网 沙巴体育外围app_软件下载 沙巴体育正规网址 - 沙巴体育盘口 沙巴体育-手机版APP下载