NIST发布了隐私框架1.0版本

iso60001  1528天前

22.png

近期,美国国家标准与技术研究所(NIST)发布了其隐私框架的1.0版本。该框架是一个面对大众的安全工具,可以被各大公司组织用来管理数据风险,遵守隐私法律,包括欧洲的GDPR。

这个由NIST发布的隐私框架的具体侧重如下:

  • 通过在产品和服务中设计合理的伦理决策来建立客户信任,优化对个人数据的使用,将对个人隐私和整个社会的不利影响降至最低

  • 在不断变化的技术和政策环境中,履行现有的合规义务(同时也和未来的产品和服务相符)

  • 促进与个人、业务伙伴、评估人员和监管机构在隐私实践方面的积极沟通

该框架可切实帮助公司组织实现隐私安全这一目标。其主要由三个重要部分构成:核心(Core)、概要(Profiles)和实现(Implementation)。

33.png

Core和组织内部关于隐私保护活动和预期目标的交流有关。Profiles允许组织根据隐私价值、商业任务和风险对结果和活动进行优先排序。

Implementation帮助组织优化管理风险所需的资源。

组织,分析隐私风险的潜在影响,根据策略选择优先处理方法。对隐私风险的回应包括:

  • 降低风险(例如,组织可以对系统、产品或服务实施不同的技术或政策措施,将风险降到可接受的程度)

  • 转移或分担风险(例如,合约是分担或转移风险给其他机构的方法,而隐私通知和确认机制则是与个人分担风险的方法)

  • 避免风险(例如,组织可能认为风险大于收益,放弃或终止数据处理)

  • 接受风险(例如,组织可能确定个体的问题较小或不太可能发生的,因此收益大于风险,没有必要投资资源来降低安全风险)

该框架还应组织跟上技术进步和数据的新用途。

NIST的隐私政策顾问,也是这个框架的引导者Naomi Lefkovitz表示:“根据个人数据的种类,今天我们认为低价值的数据可能在未来完全不同,或者你认为有两类数据单独看起来都不敏感,但如果把它们放在一起就会突然会变得敏感。这就是为什么你需要一个隐私风险管理框架,而不仅仅是一个任务清单。你需要一个新方法,让你不断地重新评估和适应新的风险。”

这个隐私框架被认为是NIST网络安全框架的补充,利用两者可以很好地应对网络安全和隐私风险所带来的不同挑战,指定最有效的解决方案。

想了解更多的细节,可以点击这里

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/96657/digital-id/nist-privacy-fr amework.html

最新评论

昵称
邮箱
提交评论