博客
什么是敏感数据?
摘要形状摘要形状

敏感数据是必须免受未经授权访问的信息。访问敏感数据应该通过足够的限制 数据安全 and 信息安全 旨在防止未经授权披露的实践 数据违规.

您的组织可能必须保护敏感数据以实现道德或法律要求,个人隐私,监管原因,商业秘密和其他关键商业信息。如果暴露,这些数据可能会增加您和/或客户的社会,声誉,合法,可用性或保险风险,并且通常是目标 企业间谍.

对许多行业的监管审查的崛起对并对这一方面有更多的需求, 供应商风险管理第三方风险管理, 和 网络安全 than ever before. 

对您最敏感数据的损失,滥用,修改或未授权访问可能会损害您的业务,废除客户信任,违反客户隐私和极端情况,影响国家的安全和国际关系。 

敏感数据的例子

敏感信息包括所有数据,无论是原始的还是复制,其中包含:

  • 个人信息: 由2005年北卡罗来纳身份盗窃保护法案定义,一系列广泛的法律,以防止或劝阻身份盗窃和保护个人隐私。
  • 受保护的健康信息(PHI): 由1996年的健康保险便携性和问责法(HIPAA)所界定。美国法律规定的博士是有关健康状况,提供医疗保健或由可被涵盖的实体(或第三方助理)所创造或收集的医疗保健支付的任何信息,可以与特定个人联系起来。
  • 教育记录: 由1974年的家庭教育权和隐私法(FERPA)所定义。 FERPA管理潜在雇主,公开资助的教育机构和外国政府的教育信息和记录。
  • 客户信息: 定义 格拉姆 - lecle-bliley法案(GLB ACT,GLBA或1999年的金融现代化法案),要求金融机构解释他们如何分享和保护客户'私人信息。
  • 卡持有人数据: 由支付卡行业数据安全标准(PCI DSS)定义。 PCI DSS是一种信息安全标准,告诉组织'如何从主要卡计划处理品牌信用卡。
  • 机密人员信息: 由国家人员法案所定义。
  • 机密信息: 按照北卡罗来纳州的公共记录法案。
  • 个人资料: 由欧盟定义 一般数据保护规范 (GDPR).

通常,敏感数据是显示的任何数据:

  • 种族或族裔 
  • 政治意见
  • 宗教或哲学信仰
  • 工会会员资格
  • 遗传数据
  • 生物识别数据
  • 健康数据
  • 性生活或性取向
  • 财务信息(银行帐号和信用卡号码)
  • 分类信息

什么是个人数据?

个人数据(或个人信息)是可以识别个人的信息。

GDPR将个人数据定义为:

  • 直接识别诸如一个人的个人'姓名,姓氏,电话号码,社会安全号码,驱动程序'S许可证号码或任何其他 个人身份信息(PII).

与假匿名数据或非直接识别信息不允许直接识别,而是允许单独出于单独的行为(例如在适当的时刻为用户服务于用户)。

建立GDP,以在直接识别信息和假名数据之间进行清晰的区分。 

GDPR鼓励在直接识别信息上使用假名信息,因为它降低了对个体具有不利影响的数据泄露的风险。

如何测量数据敏感性

确定特定敏感的是以及应该如何分类,想一想 机密性,完整性和可用性(CIA Triad) 该信息以及如何影响您的组织或其客户的曝光。

这是衡量数据敏感性的常用方式,是国家标准和技术研究所(NIST)联邦信息处理标准(FIP)中提供的框架。

什么是保密性?

机密性大致相当于隐私。 

防止未经授权访问敏感信息的对策,同时确保正确的人们仍然可以访问它,涉及机密性。 

这些对策范围从简单的意识培训,了解与处理信息相关的安全风险以及如何防范它们,以复杂 网络安全软件.

保密对策的例子:

  1. 数据加密
  2. 密码
  3. 双因素身份验证
  4. 生物识别验证
  5. 安全令牌
  6. 钥匙扣
  7. 软令牌
  8. 限制信息出现的地方
  9. 限制可以传输信息的次数
  10. 存储在曝气电脑上
  11. 存储在断开连接的存储设备上
  12. 仅在硬拷贝中存储

什么是诚信?

完整性是维持数据的一致性,准确性和可信度在其生命周期上。

在运输途中不应更改敏感数据,不应通过未经授权的人员更改(例如,当数据违规发生时)。

完整性对策的例子:

  1. 文件权限
  2. 用户访问控制
  3. 审核日志
  4. 版本控制
  5. 加密校验和
  6. 备份
  7. 赎回

什么是可用性?

可用性涉及确保所有信息系统和敏感数据在需要时可用。 

可用性对策的例子:

  1. 保持硬件并立即进行维修
  2. 尽快修补软件
  3. 提供足够的通信带宽
  4. 快速和自适应灾难恢复,综合灾难恢复计划
  5. 在自然灾害和火灾期间防止数据丢失或中断的保障
  6. 额外的安全设备和软件,如防火墙和其他服务器,用于防止停机时间,防止拒绝服务(DOS)攻击

未经授权披露敏感数据的影响是什么?

数据隐私变得越来越重要。在80多个国家,个人可识别的信息(PII)受到公共和私人组织采集和使用PII的限制的信息隐私法保护。

这些法律要求组织对个人进行关于正在收集的数据的个人清楚的通知,收集的原因和数据的计划用途。在基于同意的法律框架中,如GDPR,需要明确的同意。

GDPR将欧盟数据保护法的范围扩展到处理欧盟居民数据的所有外国公司。要求所有公司:

  • 提供 数据泄露 notifications
  • 委任数据保护官
  • 要求用户同意数据处理
  • 隐私数据的匿名数据

美国有类似的法律规定数据违约披露,所有50个美国各国都有一些形式的数据违抗法律要求:

  • 尽快对这些影响的通知
  • 让政府尽快了解
  • 支付某种罚款

此外,许多其他国家颁布了对数据隐私保护的立法机构,而且更多的是在这样做的过程中。

如何保护敏感数据

保护敏感数据的第一步是 数据分类

根据数据灵敏度,需要不同的保护级别。要理解的关键是,并非所有数据都相同,最好将您的数据保护努力集中在保护如上定义的敏感数据上。

非敏感信息的例子:

  • 公共信息: 已经是公共记录或知识问题的信息
  • 常规商业信息: 经营信息,通常与组织内部或外部的任何人共享

有效的信息安全开始,以评估您拥有的信息和识别谁可以访问的信息。了解敏感数据如何进入,通过组织转移到评估潜在漏洞和潜在漏洞至关重要 网络安全风险

这意味着从您的组织使用敏感数据以及将敏感数据的敏感数据交给第三方和 第四方供应商

这将允许您了解信息如何流过您的组织,并在您的组织中发送个人信息的完整图片,该组织接收敏感数据,收集的信息是收集的信息,谁能够获取信息。

Upguard如何帮助您保护您最敏感的数据

在Upguard,我们可以 保护您的业务免受数据泄露的影响,识别你的所有 数据泄漏,并帮助您不断监控 所有供应商的安全姿势.

点击这里 现在可以获得免费的安全评级!

免费电子书

网络风险的非技术指南

了解在深入电子书中的非技术人员对网络风险的基础知识。
白色upguard徽标
网络风险的非技术指南
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 01:49:36

最近发表