报告数据隐私安全事件
学习目标
完成本单元后,您将能够:
- 介绍数据隐私安全事件由哪些部分组成。
- 识别潜在的数据隐私安全事件。
- 当怀疑会发生数据隐私安全事件或实际发生了这样的事件时知道该怎么办。
什么是安全事件?
从欧盟 (EU)、拉丁美洲国家 (LATAM)、日本和亚太地区 (JAPAC) 到美国的每个州和地区,世界各地的许多当局都已通过安全事件通知法。最近,美国总统签署了《2022 加强美国网络安全法案》,该法案要求关键基础设施公司向国土安全部网络安全和基础设施安全局 (CISA) 报告重大网络安全事件和所有赎金。
根据您的组织运营所在的国家,有许多针对特定行业(如政府、医疗保健、能源、电信和金融服务提供商)的事件报告法律和法规,每个行业对安全事件(或数据泄露)的构成采用各自的定义。根据影响组织的安全事件通知法律,客户服务级别协议 (SLA) 或合约应包含适用于客户数据的安全事件通知要求。
数据隐私安全事件是指有意或无意地未经授权使用个人数据或客户数据。常见的安全事件有:
- 销售代表将包含客户数据的电子邮件误发给其他客户。
- 经理打印了一名候选人的简历,但在回家的路上把简历落在了火车上。
- 已经从公司辞职的员工仍能访问组织的系统,访问客户记录。
- 实习生打开了含恶意软件的电子邮件附件,导致客户联系信息被删除或加密。
- 对共享驱动器的权限过多,能够访问个人数据的人员过多。
- 客户的凭据或密钥在公共 GitHub 存储库中公开。
- 员工的工作设备(例如电脑或手机)遗失或被盗。
- 员工在回复网络钓鱼电子邮件时意外泄露了个人数据。
所有这些事件都属于潜在的安全事件,应报告给组织的安全团队。
报告安全事件
如果您怀疑可能会发生数据隐私事件,即使不能百分之百确定事件是属于数据泄露还是安全事件,也应立即报告。如果您的组织有年度安全意识培训计划,请认真了解有关如何报告组织内可疑活动或可疑安全事件的最新信息。
报告事件时,应尽可能多地提供信息,包括:
- 发生了什么
- 涉及了哪些人或组
- 事件发生的日期、时间、时区
- 涉及或影响了哪些服务
- 后续问题的联系人
安全事件报告时间表
组织有义务在短时间内向监管机构、客户和受影响的个人报告数据隐私事件。您有义务立即向内部安全团队报告安全事件,让他们有时间调查事件并公布相关情况。在某些情况下,如果未能在规定的时间范围内将数据隐私事件通知相关方,可能会导致巨额罚款、违反合同义务、损害客户信任以及损害组织声誉。
如上所述,立即报告所有潜在的安全事件是非常重要的。即使您犯了错,导致个人或客户数据泄露,也应立即报告。
总结
在此模块中,您了解了数据隐私法和原则,也学习了如何识别客户数据以及谁可以处理这些数据,还有报告数据隐私事件的要求。
如果有兴趣了解网络安全行业和相关技术,请前往网络安全学习中心,了解其他安全主题,听取安全从业人员的意见。
资源
-
外部站点:IT Governance USA:各州的数据泄露通知法
-
外部站点:Siteimprove:什么是数据泄露,如何根据 GDPR 报告数据泄露?
-
外部站点:JDSUPRA:新的网络安全法将要求关键基础设施的网络事件报告