gdpr是什麼?什麼時候施行?應該採取什麼措施來遵從?
距離「通用資料保護規範」(gdpr)正式實施,還有不到18個月的時間,但如果要具體實現這些要求,這個時間就不算長了。而且你如果覺得自己沒在歐盟範圍內,不用遵從gdpr,那你最好還是花點時間看完這篇文章吧。
儘管gdpr背後的原則前景光明,但該新規定無疑也將給在歐盟做生意或收集歐盟公民資料的任何公司帶來負擔。如果你覺得該規定僅僅針對位於歐盟的公司,那就大錯特錯了。
gdpr全球適用
事實上,無**司總部在哪兒,無論資料儲存和處理地點在哪兒,只要與身處歐盟的人做生意,或者監視歐盟公民的行為,就必須遵從gdpr。再進一步解釋:如果你收集歐盟公民的資料,你就受到gdpr的管轄。除非你的公司非常嚴格地排除了歐盟,否則你還是得處理gdpr合規問題。這一寬泛的適用範圍,其出發點是好的。要知道,gdpr其實就是《歐盟資料保護指南》的繼任者,所以,某種程度上,它將怎樣改進現有標準,也是眾所矚目的。
bh諮詢公司的布萊恩·霍楠如是說道:
合規更簡單,而且理論上開銷更少。因為該法律適用整個歐洲,公司企業可以任意挑選喜歡的機構進行報告。
gdpr不僅僅是《歐盟資料保護指南》的範圍擴大版,它還是總體上更為嚴苛的法規,包含更嚴厲的違規處罰。違規最高罰金可達公司全球總收益的4%或2000萬歐元中的高者。說白了,這些後果本就是相當嚴重的。除了高額罰金,gdpr還加入了以下條款:
該規定特意編寫得無關技術,且面向未來——資料和資料安全瞬時萬變的情況下這一點尤其恰當。不過,出於資訊保安合規角度,對公司企業必須做些什麼,建立起初始有效的解讀,還是可以的。資料安全的關鍵,在於「足夠的措施」這句。資料控制者必須實現「足夠的措施」,來確保其處理系統和所掌握資訊的機密性和完整性。這包括:
應用關鍵安全控制來恰當地檢測、管理和緩解資料處理環境中的任何漏洞;根據企業策略配置系統,並維護該配置;主動識別偏離該策略的系統;持續監視日誌檔案,警惕任何潛在資料洩露或漏洞;維持有效檢測、響應和緩解任何安全事件的能力;以安全的方式使用雲服務。
關於這些措施,及其對希望達到並維持合規的公司的影響,布萊恩·霍楠說道:
雖然規則沒有明確,我的解讀是:gdpr實際上要求公司企業擁有定義好的安全策略。你用來監視資料資產的系統、控制和過程,應該與公認的安全標準和框架相一致,比如iso/iec 27001/27002、nist網路安全框架,或者cis關機控制。
gdpr設定的標準其實就是業界已經建立的那種,或許這並不令人意外,但這也並不是說實現這些標準就是很簡單或者開銷少的事。豎起的標誌明顯指向了這些最佳實踐的方向。
對此,問題又轉回到公司企業最關心的方面:罰金。很明顯,避免資料洩露和實現要求的過程及控制,就是規避罰款的關鍵。但提出並非所有的資料洩露都能避免的質疑也是很合理的。霍楠在這方面有他自己的箴言:
那些關於SaaS的利弊,你應該知道的事
現在,一些大型且最古老的軟體公司,例如adobe 微軟和oracle都在使用軟體即服務的訂閱版本,並且這成為他們收入的乙個比較大的一部分。但是在部署之前,企業應該權衡一下軟體即服務的利弊,並且決定這種改變會給他們的it圖景帶來一些怎樣的影響,因為可能會涉及一些混合的自主託管的資料中心硬體。saas被...
關於Epoll,你應該知道的那些細節
epoll,位於標頭檔案sys epoll.h,是linux系統上的i o事件通知基礎設施。epoll api為linux系統專有,於核心2.5.44中首次引入,glibc於2.3.2版本加入支援。其它提供類似的功能的系統,包括freebsd kqueue,solaris dev poll等。epo...
關於愛情應該知道的事
夫妻同心 黃土變金。結婚沒結婚的都看看吧!怎樣相處才能讓夫妻成就一輩子?一 男人的五大需求 1 被理解 2 被信任 3 被支援 4 被認同 5 被尊重。二 女人的三大要求 1 安全感 2 浪漫 3 被疼和被哄。三 夫妻之間離不開的三大問題 1 經濟問題 2 性的問題 3 溝通的問題。四 夫妻之間的三...