曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        如何利用網絡安全框架如何保護您的組織(即使發生違規)
        發布時間:2021-09-07 09:29:42   閱讀次數:

        對于當今的組織而言,數據泄露的破壞性已經不是什么秘密了。如果收入損失和聲譽受損不足以讓您采取行動,如果您未能保護客戶的私人信息,您的組織可能會面臨懲罰性賠償。是的,沒錯——監管機構可能會處以巨額罰款,等待違反當今嚴格的數據隱私法的人。Equifax因他們在 2017 年允許的違規行為向聯邦貿易委員會支付了 5.75 億美元,而 Uber 對 2016 年違規行為的無效處理使該公司損失了近 1.5 億美元。


        今天,大多數州都有越來越嚴格的隱私法和違規通知要求。然而,有一些好消息——某些州已經為創建和維護符合行業認可的安全框架(如ISO 27001、NIST CSF和PCI DSS)的書面網絡安全計劃的組織建立了安全港。在本文中,我們將探討新的安全港選項以及實施安全框架如何幫助您的企業避免因隱私侵犯而造成的代價高昂的損失。


        1-210ZF93R2131.png

        嚴格的隱私法存在合規陷阱

        如今,在美國的許多州正在采取更多措施來追究未能保護客戶數據的組織的責任。公司現在必須保護比以往任何時候都更廣泛的數據,并且在許多州,他們面臨著縮短的違規通知時間。這些嚴格的隱私法規為試圖避免監管違規和懲罰性賠償的企業帶來了各種合規陷阱。


        康涅狄格州為這些嚴格的隱私法提供了一個很好的例子。2021 年 6 月 16 日,康涅狄格州州長 Ned Lamont 簽署了HB 5310,一項關于數據隱私泄露的法案。HB 5310修改了康涅狄格州現有的違規通知要求,通過擴展可觸發通知要求的個人信息類型,包括納稅人身份證號碼、個人IRS身份證號碼、護照號碼、軍人身份證或其他政府頒發的身份證號碼、生物識別數據、健康保險 ID 號、用戶名或電子郵件地址以及密碼或安全問題和答案。


        HB 5310 還將向受影響的康涅狄格州居民和司法部長發出違規通知的時間從發現違規后的 90 天縮短至不遲于 60 天。如果企業無法在 60 天通知期限內提供直接通知,則需要向個人發出“初步替代通知”。公司還必須在初步替代通知之后盡快跟進直接通知。


        在通過 HB 5310 時,康涅狄格州與其他幾個州一起擴大了對“個人信息”的定義并縮短了違規通知要求。2019 年,包括伊利諾伊州、緬因州、馬里蘭州、馬薩諸塞州、紐約州、新澤西州、俄勒岡州、德克薩斯州和華盛頓州在內的九個州擴大了違規通知法,使許多公司的合規性進一步復雜化。請記住,截至 2021年4月,所有50個州、哥倫比亞特區、關島、波多黎各和維爾京群島都有立法要求私人或政府實體將涉及個人身份信息的安全漏洞通知個人。


        免于懲罰性賠償的安全港

        1-210ZF9401S94.png

        即使是最樂觀的安全專業人員也必須承認,沒有任何防御措施是絕對可靠的,即使采用了最好的安全控制措施,漏洞也會發生。如果發生違規行為,您的組織是否可以采取任何措施來保護自己免受監管機構威脅的嚴厲懲罰性賠償?目前,俄亥俄州、猶他州和康涅狄格州等幾個州為能夠記錄其安全計劃遵守公認安全框架的組織提供安全港保護。毫無疑問——安全港保護并不能阻止訴訟,但它為積極實施公認安全框架的公司提供了合法的辯護。


        讓我們看看俄亥俄州,該州于 2018 年通過了 SB 220,也稱為俄亥俄州數據保護法案。俄亥俄州是第一個向安全政策與公認框架一致的公司提供違規訴訟安全港的州。為了有資格獲得安全港,所涵蓋的實體必須“創建、維護和遵守書面網絡安全計劃”,該計劃“合理符合”幾個指定的網絡安全框架之一。如法律所述,SB 220 中認可的框架包括:

        1. NIST 網絡安全框架、NIST的SP 800-171、SP 800-53或SP 800-53a、FedRAMP、互聯網安全中心 (CIS) 關鍵安全控制或國際標準化組織/國際電工委員會 (ISO) 27000家庭;
        2. 對于受監管實體,HIPAA、Gramm-Leach-Bliley 法案、FISMA 或 HITECH的網絡安全要求(視情況而定)
        3. PCI 數據安全標準 (PCI DSS)與(1) 或 (2) 中列出的其他標準之一結合使用。

        2021 年 7 月,俄亥俄州通過了 HB 376,即俄亥俄州個人隱私法案(OPPA),該法案與最初的安全港立法相呼應,同時明確確定了 NIST 框架。OPPA聲明,如果企業創建、維護和遵守合理符合美國國家標準與技術研究院 (NIST) 隱私框架的書面隱私計劃,則該企業可以對侵犯隱私的指控進行積極辯護。在俄亥俄州的法律還規定,當一個安全框架的修訂,該組織必須確認自己的隱私計劃,在修訂說明的出版日期不得遲于一年后修訂的框架。


        2021 年 3 月上旬,猶他州成為第二個采用網絡安全安全港法規作為在發生違規訴訟時可行的防御措施的州。猶他州HB 第 0080 號法案,即《網絡安全肯定防御法》,規定創建、維護和合理遵守書面網絡安全計劃(遵守公認的安全框架)的實體可以將其對網絡安全計劃的遵守情況作為積極防御根據州法律提出的數據泄露索賠。


        HB No. 0080 中引用的公認框架包括 NIST 特別出版物 800-171、800-53 和 800-53a;(CIS) 有效網絡防御的關鍵安全控制;和 ISO 27000 系列——信息安全管理系統。

        康涅狄格州是第三個采用安全港立法的州,于 2021 年 3 月通過了 HB 6607,稱為“鼓勵企業采用網絡安全標準的法案”。 HB 6607 保護企業免受因泄露客戶個人數據的違規行為而導致的懲罰性賠償,如果他們采用和遵守公認的網絡安全框架。HB 6607阻止康涅狄格州高等法院評估針對創建、維護和遵守書面網絡安全計劃的組織的懲罰性賠償,該計劃包含保護個人或受限信息的行政、技術和物理保障措施,并按照行業認可的安全措施運營框架。


        HB 6607 中引用的公認框架包括 NIST 的改善關鍵基礎設施網絡安全的框架;特別出版物 800-171、800-53 和 800-53a;聯邦風險和授權管理計劃的 FedRAMP 安全評估框架;CIS 有效網絡防御的關鍵安全控制;或 ISO/IEC 27000 系列。


        HB 6607 還規定,在修訂框架時,組織必須在修訂中規定的發布日期后不遲于六個月向修訂后的框架確認其安全計劃。


        實施網絡安全框架的好處 

        將您的安全計劃與行業認可的標準和框架保持一致,除了可以保護您的企業免受違規事件的懲罰性損害之外,還可以帶來許多好處。當您的團隊實施ISO 27001等標準時或 NIST CSF,您的企業正在有效地選擇采用基于風險的方法來管理信息安全。您承諾不斷改進控制措施(系統、流程、策略和技術組件),以保護敏感信息并保持合規性。有這么多不同的隱私和網絡安全法律,每個組織都需要一種更可持續的戰略方法來管理規則和要求;這種方法需要能夠輕松適應未來的規則。將您的 IT 風險管理計劃與行業認可的安全框架(如 NIST CSF 和 ISO 27001)保持一致可以幫助您做到這一點。 


        如果我最近完成了 SOC 2 Type 2 ,這是否使我的組織有資格在有安全港立法的州獲得安全港? 

        許多較小的組織和早期初創公司已經獲得了SOC 2 Type 2 報告。但是,根據現行法律,SOC 2 Type 2 證書是否有資格獲得安全港保護?不幸的是,根據這些州法律,SOC 2 目前不被視為可接受的網絡安全框架。雖然法律文本沒有說明為什么當前的 SOC 2 認證報告不符合行業認可的安全標準,但監管機構很可能已經認識到 SOC 2 和他們列入清單的網絡安全框架之間的兩個主要區別: 

        • SOC 2 Type 2評估的范圍很可能比 ISO 27001 認證過程的審核范圍更窄(并且它比 NIST 網絡安全框架、NIST SP 800-53所涵蓋的所需活動的范圍更窄)和 NIST SP 800-171)。SOC 2 證明報告概述了實際符合基于公司承諾的適用信托服務標準的控制措施。對于 SOC 2,公司選擇五個信任服務標準(安全性、可用性、隱私、機密性和處理完整性)中的哪一個將在評估范圍內。另一方面,如果組織想要聲稱其“符合 ISO 27001”,則需要獲得經批準的審核員的認證,證明該組織的信息安全管理體系 (ISMS) 符合 ISO 27001 標準。ISO 27001 認證側重于更高級別的 ISMS 流程和更廣泛的信息安全風險這適用于文檔管理、人力資源、資產管理和供應商關系等問題。這不一定與 SOC 2 的范圍相同。 
        • 時間范圍。SOC 2 Type 2評估涵蓋了一個歷史時期,因此它只能表明組織過去一直保持適當的控制。另一方面,ISO 認證旨在傳達 ISMS 正在積極實施并繼續有效運行。   


        然而,這里是誰已經把工作并取得了良好的新聞機構SOC 2 Type 2證書是很好的道路上與ISO 27001,NIST CSF和對齊FedRAMP要求。他們已經有大量的管理、程序和技術控制措施來保護信息和用戶隱私——因此他們不需要從頭開始。相反,實施 ISO 27001、NIST CSF 或 FedRAMP 代表了其 IT 風險管理流程的擴展或成熟。 


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精