通用数据保护条例和信息安全 – 提高信息安全的7种方法

GDPR

通用数据保护条例(GDPR)被广泛认为是世界上最严格的数据保护法令。该法律用于处理欧盟居民个人数据的公司。由于全球性云端平台如电子商务,社交媒体和App等等的应用,所以不管公司所在的地域,GDPR都可以影响任何公司。作为欧盟或欧盟以外的数据处理公司或实体,只要是提供商品/服务(付费或免费)或监督欧盟的个人,此法律也对它们产生影响。根据法律规定,公司可以被罚款高达两千万欧元,或公司全球年度收入的百分之四的营业额,以较高者为准。

GDPR于2018年5月25日生效,自此以后,根据爱尔兰时报的报告,数据保护委员会自2017年起开始报告数据违规数据超过1100起,而2017年之前的平均每月平均数为230。最新的数据泄露案例于2018年9月7日报道,英国航空公司380,000名客户的信用卡详细信息在其网站和移动应用程序中被“恶意“的造成数据外泄。被盗取的关键信息包括客户姓名,电子邮件地址,信用卡详细信息,如卡号,有效期和三位数的CVV代码被黑客窃取。根据“卫报”的报道,这些被盗数据的黑市售价可能高达2150万英镑。

在处理数据泄露时,虽然公司可以投入大量的科技技术来确保它们可以安全地抵御网络攻击或黑客入侵,但黑客通常只需要在整个系统中使用一个小的漏洞来入侵和利用。除了科技技术帮助之外,公司应该如何采用全面的框架来确保它们能够抵御攻击,如果数据外泄发生了应该做的事情。我们列出了公司可以通过以下7种方式来保护其公司信息资产:

1.确保在组织中建立信息安全责任

在公司和项目中建立负责处理组织信息安全风险管理的人员和团队。

2. 组织内部的信息安全意识

确保您的员工和承包商在加入时了解您所在国家/地区的信息安全政策和监管要求,并定期向他们提供这种信息安全意识的培训。

3.建立信息资产管理流程

在这种情况下,资产不仅意味着硬件,而是应该识别信息管理资产中的软件,如个人数据,信用卡详细信息,供应商合同等等,并为所识别的每个资产辨认一个主管人。

4.采用风险管理方法来保障信息安全

使用风险管理方法评估组织活动和信息资产的各个方面的信息安全风险,并与相关信息的使用进行定期审查

5.系统获取,开发和维护的安全性

确保信息安全管理是整个信息系统生命周期中不可或缺的一部分,从新系统的需求分析或优化到放在公共网络上的保护系统或服务。这些包括代码审查,应用程序安全测试以及监督和监控外包系统开发。

6.管理供应商

确保您的信息安全要求得到供应商的同意并记录在案。您与供应商的协议应在信息和通信技术服务(包括产品供应链)解决信息安全相关的风险。

7.信息安全事件管理

GDPR要求在信息外泄后72小时内通知,在新加坡,个人数据保护委员会(PDPC)的定义是“尽快,不迟于72小时”。建立正式的事件管理程序可确保有效和一致的过程来来沟通和处理数据外泄事件的报告和调查工作。

菩提数码提供服务帮助公司使用我们的综合评估框架评估当前的信息安全风险,并提供咨询和实施以帮助公司建立一个防范性的信息安全保护框架,请联系我们以了解更多信息。

6Shares

Leave a Reply

Your email address will not be published. Required fields are marked *