安全和隱私是企業(yè)內(nèi)部容易起沖突的兩個方面。舉個較常見的例子,對接入企業(yè)網(wǎng)絡(luò)的員工設(shè)備進行配置和管理是企業(yè)IT團隊一項頗為常規(guī)的工作,為了安全起見,管理員往往會設(shè)置策略,但涉及隱私時往往會引起員工的不理解。
為了順利協(xié)調(diào)二者,企業(yè)需要更好地理解隱私和安全各自的界定以及連接二者的有效方式。
在保護信息資產(chǎn)方面,安全和隱私起到極為重要的作用,不過二者程度有異。信息安全負(fù)責(zé)處理數(shù)據(jù)的訪問和保密性;隱私涉及法律、合規(guī)和風(fēng)險,他們有沖突的地方,也能夠互為補充。
引用SANS對信息安全的定義是“設(shè)計和實施以保護打印、電子或任何其他形式的機密、私人和敏感信息或數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問、使用、誤用、泄露、破壞、修改或中斷的過程和方法”;COBIT 5對隱私的界定是“企業(yè)收集、存儲和發(fā)布其收集的個人信息的方式”,隱私政策要求“告知客戶其收集的具體信息,是否進行保密處理、是否與合作伙伴共享或出售給其他公司或企業(yè)”,此外,還要遵守數(shù)據(jù)保護相關(guān)的立法。
連接隱私和信息安全的風(fēng)險和合規(guī)性。企業(yè)應(yīng)對隱私進行隱私影響評估,負(fù)責(zé)收集個人信息、說明如何維護、保護以及共享該信息。然后采用相應(yīng)的保護,以確保其符合隱私影響評估中界定的風(fēng)險和合規(guī)性級別。唯有平衡好隱私性和安全性才能更好地為保護企業(yè)信息資產(chǎn)做貢獻。