GDPR 对于数据保护的意义.docxVIP

PAGE 1 PAGE 1 GDPR 对于数据保护的意义  在数据中心这个行业，安全问题无处不在，伴随着安全问题让人们对网络又爱又恨，近期，有不少自称安全方面的专家不断涌现。  在数据中心这个行业，安全问题无处不在，伴随着安全问题让人们对网络又爱又恨，近期，有不少自称安全方面的专家不断涌现。  　　  明显，这个世界和它的母亲可以使你的GDPR听从各种各样的成本，同时供应各种价值-假如有的话。在每一个方面，都是关于合规性的，组织的大部分噪音是关于遵守GDPR的需要。  　　  GDPR：通用数据保护规范”(GDPR)究其本质，该条例制定的目的，是想借赋予欧盟公民个人信息保护的基本权利，来增加消费者对在线服务和电子商务的信念。GDPR的核心，是对个人数据的收集和之后的存储使用，规定更高的透明度与管控。对GDPR的正面阐释，是公司企业可通过给消费者一种自身数据被合理存储和保护的安全感，来赢得消费者的信任。GDPR不是一个负担，相反，它可被视为在世界第二大贸易集团(欧盟)增加业务的好机会。  　　  假如你收集欧盟公民的数据，你就受到GDPR的管辖。除非你的公司特别严格地排解了欧盟，否则你还是得处理GDPR合规问题。这一宽泛的适用范围，其动身点是好的。要知道，GDPR其实就是《欧盟数据保护指南》的继任者，所以，某种程度上，它将怎样改进现有标准，也是众所瞩目的。  　　  GDPR不仅仅是《欧盟数据保护指南》的范围扩大版，它还是总体上更为严苛的法规，包含更严厉的违规惩罚。违规最高罚金可达公司全球总收益的4%或2000万欧元中的高者。说白了，这些后果本就是相当严重的。除了高额罚金，GDPR还加入了以下条款：  　　  ·引入强制数据泄露通告。遭受安全事件并导致个人身份信息泄露的公司，需要在事件发觉后72小时内，将事件报告给他们指定的数据保护机构；  　　  ·引入具备数据保护法令专业学问的指定数据保护官员。该角色必需是独立的、自治的，并直接向高层管理汇报。  　　  GDPR提出的要求明显不止这些，仅靠这篇文章也解释不完。这里只是想要说服各位读者尽快去了解更多。假如你脑中有这样的想法：“我得买什么产品才能合规？”抓紧扔掉。购买部署一堆安全产品不能让你达到合规的目的。  　　  该规定特意编写得无关技术，且面向将来——数据和数据安全瞬时万变的状况下这一点尤其恰当。不过，出于信息安全合规角度，对公司企业必需做些什么，建立起初始有效的解读，还是可以的。数据安全的关键，在于“足够的措施”这句。数据掌握者必需实现“足够的措施”，来确保其处理系统和所把握信息的机密性和完整性。这包括：  　　  ·应用关键安全掌握来恰当地检测、管理和缓解数据处理环境中的任何漏洞；  　　  ·依据企业策略配置系统，并维护该配置；  　　  ·主动识别偏离该策略的系统；  　　  ·持续监视日志文件，警惕任何潜在数据泄露或漏洞；  　　  ·维持有效检测、响应和缓解任何安全事件的能力；  　　  ·以安全的方式使用云服务。  　　  假如你将留意力放在合规上，很有可能没有意义，即使一直在关注细节，看起来可能“完全合规”，但也只是在相对的一个时间点。  　　  当然，遵守规定是一件好事，但它并不能保护您免于破坏数据，也不能保证您的业务不会违规。没有证据支持这样一种观点：遵守规定会削减数据泄露的机会。  　　  切合实际的保护  　　  事实上，你不应当罚款担忧，倒是应当担忧股票价值，潜在的集体诉讼以及客户的信任。这不是像其他人一样那般带给你的恐惊，而是需要要供应一点切合实际的东西。  　　  你不可能防止每一次可以想象的攻击或事故，你也不应当期望，但是你能否在保护这些数据方面表现出合理的措施？你能对企业组织的数据做出那些合理的保护措施？企业的目标不是制定规定，而是保护数据。  　　  GDPR的关键，以及这个领域的其他法规，是整个组织数据保护的一个良好的方法。这不是一个安全或技术问题，而是一个整体的业务问题。  　　  仅仅关注GDPR合规本身就是错误的。  　　  GDPR只是最新的监管主题，它是建立在1998年“数据保护法案”(DPA)的基础上，该法案建立在对个人数据进行处理和依法处理的基础上。  　　  这是一个新的规定，但对数据保护而言，已经不足为奇。保护数据的要求一直存