首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 为什么以及如何处理数字数据

为什么(以及如何)处理数字数据

巴塞尔因车祸Kablawi
作者: 巴塞尔因车祸Kablawi, CISM, CDPSE, COBIT Foundation, ITIL v3
发表日期: 2022年6月22日

对于不遵守数据隐私法规的组织来说,风险太高了. 例如, 不遵守欧盟通用数据保护条例(GDPR)可能会导致高达1000万欧元的罚款或该组织上一财政年度全球年收入的2%, 取较高者.1 妥善处理资料是保障资料私隐的关键. 摩根士丹利(Morgan Stanley), 总部设在美国的全球性投资银行和金融服务机构, 曾因不当处理个人资料而被罚款六千万美元.2

处置是个人资料生命周期的最后一步, 从收集开始到处置结束(图1).

图1 -数据生命周期
图1 -数据生命周期

大多数数据隐私法律和法规规定,必须为特定目的收集数据,以有利于特定的项目或程序,并且应该在组织的系统中驻留不超过必要的时间,并且只有在数据主体积极同意的情况下.

简单地说, 如果商业目的不再需要数据,或者数据主体撤回其同意,则组织必须处理数据.

如果商业目的不再需要数据,或者数据主体撤回其同意,则组织必须处理数据.

数据处理方法

数据处理是完全销毁数据,以确保它们不再可用, 可访问或可读. 那么,数据是如何被销毁的呢? 是否只需要从系统中删除数据? 在这个问题得到回答之前, 理解销毁应该基于组织的保留策略是很重要的.

保留策略定义了组织的保留计划, 哪些为档案管理和法务部门整理档案和信息提供了依据, 并描述了出于法律遵从性和业务需要而必须保留这些记录的时间长度. 保留策略因组织和行业而异. 策略基于业务需求和组织必须遵守的外部法规.

澳门赌场官方下载引用其保留策略时,最多可以使用5种数据处理方法:

  1. 数据匿名化-更改数据,使数据主体不再被直接或间接识别. 这个过程可以通过标记化来完成, 哪一个是将有意义的数据转换成随机字符. 令牌化广泛应用于支付卡行业(PCI),以保护持卡人数据(CHD),以及医疗保健行业,以保护私人信息(e.g., 受保护的健康信息[PHI]),并在保持数据完整性的同时最大限度地降低信息泄露的风险. 这种方法可以防止组织将收集的匿名数据用于营销工作或个性化用户体验, 因为用户是未知的.
  2. 数据删除删除数据并使其处于可恢复状态. 这与数据擦除不同, 指的是永久删除数据,使其无法再恢复. 删除数据时, 操作系统(OS)删除文件结构中指向数据的指针. 即使在Windows操作系统中使用Shift+Delete命令或在macOS中使用command +Shift+Delete命令, 使用数据恢复软件仍然可以恢复数据. 这同样适用于删除系统回收站的内容. 因此,数据删除会给组织带来风险,因为删除的数据仍然可以恢复.
  3. 数据加密粉碎(用于加密数据)-删除数据加密密钥. 如果没有密钥,数据在3种数据状态(i.e.(静止数据、传输数据、使用数据). 如果数据是加密的,为什么要关心它们会发生什么? 因为随着计算能力的增长,加密强度可能会随着时间的推移而减弱. 只要有加密服务保护数据,加密粉碎是有效的.
  4. 数据消磁通过削弱磁场,将数据从磁性媒体上永久擦除,以消毒数字媒体并完全擦除其内容. 某些类型的存储设备可以执行数据消磁, 但不适用于使用固态硬盘(SSD)的设备,因为SSD不以磁性方式存储数据.
  5. 数据破坏,对存储磁带、磁盘和/或其他形式的电子媒体进行彻底的物理破坏. 这种方法的唯一后果是丢失被破坏的设备的代价, 因为它将不再可用.3

组织可以根据其业务需求和所存储数据的重要性来选择处理选项. 销毁数据最有效的方法是在进行物理销毁之前使用消磁, 因为消磁使存储介质变得敏感, 因此,即使被摧毁的装置被重新组装,也没有风险.

数据处理的重要性

想象一下,在一个组织的数据库中存储了许多组个人数据, 但是这些数据不再被使用,对组织没有价值. 组织被迫继续投入精力和资源(例如.g.(数据存储空间、人员、网络安全措施和设备)来存储和保护数据. 这增加了开销成本,并进一步使数据分类复杂化. 一直以来,未使用的数据在保留在系统中时都暴露在不必要的潜在风险中. 正确处理未使用的数据有助于确保这种情况不会成为现实.

除了法律处罚和罚款之外,组织还可能因不遵守数据处理法律法规而面临罚款, 当组织经历数据泄露时, 数据丢失,并可能由实施违约的一方公布. 维护公众信任, 组织必须处理该事件,并通知数据被盗的数据主体.

结论

通常, 当组织意识到它拥有不再需要的数据时, 这是因为员工并没有每天访问这些数据, 哪些会导致忽视数据保护措施,使数据容易被泄露.

某些法规要求组织执行删除数据的保留策略. 遵守这些规定, 澳门赌场官方下载必须认真对待数据处理,如果数据主体撤回其对组织使用和处理其数据的同意,则必须遵守数据主体要求删除其个人信息的权利.

除了遵从性, 了解数据处理的重要性可以帮助组织保护个人数据不因数据泄露而泄露, 哪一个, 反过来, 防止组织的声誉受到损害,并节省补救工作和/或额外存储空间的成本.

尾注

1 沃B.; “GDPR的罚款是什么?质子科技股份有限公司
2 平底渔船,年代.; “摩根士丹利因数据处置被罚款6000万美元,” Infosecurity杂志2020年10月20日
3 ISACA®, CDPSE评审手册, 2020

编者按

想了解更多作者对这个话题的看法,请收听“为什么(以及如何)处理数字数据ISACA的一集® 播客.

巴塞尔因车祸Kablawi, CISM, CDPSE, COBIT Foundation, ITIL v3

是资讯安全和资料私隐顾问吗.