2019 RSA呼吁企业做好隐私保护，抢占数据安全先机！

2019 RSA大会已于今年三月在美国旧金山圆满落幕。该项会议被视为全球信息安全领域的风向标。今年大会的主题是“Better”，与参会嘉宾共同探讨了安全领域的发展趋势及前沿技术。

在今年的RSA大会上，“数据安全”位居RSA安全热词榜TOP10的第三位。该榜单是从今年736家参展机构所涉及的安全领域及2019 RSA 大会主题演讲的超过100个关键词中统计得出。而“隐私保护”作为数据安全的重要组成部分，被列为单独议题，重点展开讨论。

在刚刚闭幕的两会上，“个人信息隐私保护”问题也受到了人大代表与政协委员们的极大关注。全国政协委员穆可发认为要加强对公民个人信息安全的保护，个人信息安全法的出台是当务之急。

随着网络信息技术和数字经济的快速发展，因个人信息不当收集、滥用、泄露，而导致公民权益受到侵害的事件时有发生。有数据显示：2019年有56%的互联网攻击行为来自于垃圾信息群发、黑客工具、欺诈软件和蠕虫病毒等自动化攻击手段。做好隐私保护，特别是个人信息隐私保护，刻不容缓。

RSA专家讲隐私保护，应遵循：8项原则，4步行动

在本届RSA大会上，国际顶级信息安全专家托德·菲茨杰拉德从隐私保护的重要性、隐私边界的界定以及企业如何做好隐私保护三个方面进行了精彩演讲。

随着IT技术的快速发展，网络安全威胁花样不断翻新，首席信息安全官（CISO）的工作职责也随之发生着变化。保护数据安全，特别是个人信息隐私安全越来越被企业所重视。

据悉，2015年Anthem公司8千万条记录惨遭泄露。泄露数据包括：姓名、会员ID号、出生日期、地址、电话号码、电子邮件地址、就业和收入等信息。在欧盟出台的《通用数据保护条例》（GDPR）适用条款下，该公司将面临高达36亿美元的赔付。

其实，早在1890年哈佛大学的路易斯·D·布兰迪斯和塞缪尔·D·沃伦教授就提出了关于“隐私权”的概念。后来美国、加拿大、澳大利亚等国家的立法机构及政府相继出台了各种隐私保护法。经济合作与发展组织（OECD）也在1980年制定了八项个人隐私保护的基本原则，以保护隐私信息安全。

来源：托德·菲茨杰拉德在2019 RSA大会演讲PPT

那么，如何界定个人隐私信息呢？2018年加州消费者隐私法案将个人隐私信息定义为：“能够根据相关描述，直接或者间接关联到特定人或者特定家庭的信息。”具体而言，各国对于个人隐私信息的界定有所差异。在欧洲，政治观点、宗教信仰、健康情况等被认为是个人隐私信息。而在美国，则将财务信息、驾驶证号码、医疗记录等纳入到个人隐私信息之中。

来源：托德·菲茨杰拉德在2019 RSA大会演讲PPT

企业应该如何推进隐私信息保护？国际顶级信息安全专家托德·菲茨杰拉德在演讲中建议企业应立即采取如下4步行动：

第一步：与隐私保护负责人或者法律部门相关员工进行交流。

第二步：用3个月的时间，阅读《通用数据保护条例》（GDPR）和当地的法律，清查公司所涉及的隐私保护政策。

第三步：用6个月的时间，和隐私保护负责人一起，开展隐私保护相关认证，全面评估，确保在隐私保护方面，周全无遗漏。

第四步：召开全体员工大会，并向全体员工讲解隐私保护相关原则。

企业除了贯彻隐私保护原则，更应注重隐私信息的安全防御

数据是企业的无形资产，隐私信息是企业数据的核心资产，确保企业隐私信息安全，是企业安全防御的重中之重。丁牛科技网安实验室主任阮强建议企业应该从风险评估、安全加固、安全顾问和应急响应四个方面，对隐私信息进行全方位多维度的安全防护。

丁牛科技“冰刃·安全大师”服务秉承“专业可靠 使命必达”理念，目前已通过中国网络安全审查技术与认证中心（CCRC）的严格考核及审查，并取得了信息安全应急处理和信息安全风险评估三级服务资质认证，可为企业提供包括：渗透测试、应急响应、安全顾问、安全加固、风险评估等安全服务，全方位多维度，为企业安全保驾护航。

丁牛科技官网链接：http://www.digapis.cn