数据保护、隐私和安全可能看起来很相似,但它们的差异可能会决定一个收集、管理、访问、删除和保护数据的全面合规计划的成败。
数据是每个企业的命脉。但随着各种规模的企业都在努力应对存储和使用越来越多数据的挑战,它也面临着来自政府法规和用户期望的更大压力。
如今,即使是小型企业也必须应对艰巨的挑战,包括在日益精细的数据生命周期中对多样化的数据类型进行分类、存储和保护。保护数据的三个关键方面包括保护、安全和隐私,每个方面都发挥着独特的作用:
数据保护。提供数据。数据保存、不变性和保留或更广泛的生命周期考虑因素,从数据创建到销毁。
数据安全。保持数据的完整性。围绕确保授权访问并保护数据免遭盗窃、损坏、不当更改或丢失。
数据隐私。保持对数据的控制。解决敏感个人数据的正确使用和管理问题,在某些情况下将控制措施扩展到个人等数据源。
尽管这三个功能通常被认为是可以互换的,但企业和IT领导者需要了解其中的重要区别。
什么是数据保护?
数据保护涵盖影响数据可用性的技术、实践、流程和工作流程,以便数据在需要时随时可用。适当的数据保护可以包括各种技术资产或考虑因素:
存储硬件包括保留数据的传统磁性或固态驱动器设备,以及更广泛的物理存储集合,例如存储服务器和存储阵列。
可用性机制包括传统的数据备份、持续数据保护和高可用性技术,例如RAID或独立磁盘冗余阵列。所有这些机制必须包括相应的机制来恢复和验证数据。
存储性能技术包括存储分层,即在性能更高的存储硬件上存储更重要或经常访问的数据。高层存储通常与相应的可用性技术相结合。例如,具有更重要数据的更高存储层可能会使用更复杂的可用性技术,例如RAID;较低层存储可能只使用传统的数据备份。
数据保护还必须包括仔细考虑政策和程序,以确保以适当的方式保留和处理数据:
数据清单。这可以确定整个企业中存在的数据量和类型,并确保所有检测到的数据都包含在数据保护方案和适当的生命周期管理中。
备份和恢复。有一些工具和实践可用于保护数据免受硬件故障、意外丢失或故意不当行为的影响。它们跟踪并记录所使用的备份类型、这些硬件资产的位置、执行备份的频率以及数据恢复的过程。
数据生命周期管理。这涉及到影响数据分类方式的工具和流程,将数据存储在适当的性能层中,在其整个生命周期中使用相应的可用性机制进行保护,并在其生命周期结束时根据策略销毁数据。
数据保护还可能对企业带来重大的监管和治理影响。例如,由于磁盘故障或无意删除而意外丢失数据可能会影响组织正常运作的能力,可能违反合规性要求或其他数据保护法。许多组织聘请了专门的数据保护官员,专门负责确保所有数据存储满足业务要求。
什么是数据安全?
数据安全是指在数据从创建到销毁的整个生命周期中保护数据免遭盗窃、损坏或未经授权的访问。适当的数据安全可以包括一系列技术和流程:
数据中心内和整个企业的存储设备、服务器、网络设备和整体物理计算环境的物理安全。
访问控制系统,例如身份和访问管理,定义谁可以访问哪些数据,以及访问后如何使用该数据。
日志记录和监控可跟踪数据访问和随时间的变化,并在检测到未经授权的访问或使用模式时向管理员发出警报。日志记录和监控还可以确保安全防护措施到位并按预期运行,从而有助于数据安全审计。
加密技术,可以保护静态和动态数据,包括加密密钥和证书管理。
数据安全还涉及与数据保护和访问方式相关的详细政策和程序,以及管理安全漏洞事件的适当方法。这些文档可能包括企业政策,如如何确定员工可以访问和使用哪些数据;持续的员工教育课程以及技术政策,如如何实施加密。
与数据保护一样,数据安全是几乎所有组织的法规遵从性和企业治理的重要组成部分。正确的数据安全政策,可能是企业合作或分包甚至风险投资等企业投资的先决条件。
什么是数据隐私?
数据隐私主要是数据管理和使用的道德问题。认真的数据隐私可以确保用户或其他数据源了解与敏感数据的收集、使用和管理相关的各种事项,包括以下内容:
为什么收集数据。
数据如何被使用或共享。
如何管理和保护数据。
添加、更改或限制数据及其使用需要哪些权利。
从本质上讲,数据隐私是一种为企业收集、存储和使用数据的方式带来一定程度透明度的手段。此外,数据隐私概念支持用户对企业拥有的数据进行一定程度的控制。各种数据隐私原则可以帮助用户执行以下操作:
查看与用户相关的数据。
查看数据的收集时间和方式。
更正或更新错误、过时或不再相关的数据。
编辑或限制某些数据元素的存储或使用。
请求删除与用户有关的部分或全部数据,这被称为遗忘权。
数据隐私已成为许多企业的重要立法问题。监管压力由不同的政府实体施加,从美国不同州到国家级授权,再到整个地缘政治区域。值得注意的数据隐私法规包括以下内容:
2003年加州在线隐私保护法。
加州消费者隐私法(CCPA)。
犹他州消费者隐私法。
1988年澳大利亚隐私法。
加拿大个人信息保护和电子文件法。
欧盟通用数据保护条例(GDPR)。
数据隐私法的数量之多,每项法律中规定的不同条款和义务都使情况更加复杂。任何在受数据保护法规管辖的市场中运营的企业都有义务遵守这些法规,否则将因违规而面临严厉的罚款和其他法律处罚。因此,一家跨国企业可能会受到不同的监管,这给许多大型企业带来了复杂的企业治理和监管合规问题。
创建数据管理团队
数据保护、数据安全和数据隐私是独立但紧密结合的实践,每个企业都必须解决这些问题。对于单个企业或技术领导者而言,实现每个概念的目标可能是压倒性的。好在,这套数据管理目标可以通过精心挑选的团队的合作来处理:
负责确保组织满足其保护、安全和隐私要求的企业领导者。
精通数据保护、安全和隐私法规的法律顾问,可以就这三种做法中涉及的法律问题向业务和技术领导者提供建议。
数据管理官员在保护、安全和隐私问题上拥有深厚的专业知识,他们可以与企业领导者和法律顾问合作,制定和维护精心设计的政策和流程。
技术领导者可以选择、实施和维护最适合满足数据保护、安全和隐私的运营影响的技术。
在与访问、使用和保护敏感业务数据相关的各种问题上接受过适当教育和培训的员工。
数据保护、安全和隐私仍然是不断发展的问题,影响着每个人——个人、企业以及州和国家政府。对于每家企业来说,至关重要的一点是,必须将数据管理视为动态且不断变化的挑战,必须经常对其进行审查、重新评估和更新,以确保业务符合法律和最佳实践。
来源:千家网