安全围栏

我们都知道为什么我们需要负责任地管理敏感数据,但是根据IT管治,仅去年一年就有4.8亿条记录泄露,我们是否足够重视它?

我们生活在数字时代,所以当您说“数据泄露”时,大多数人会自动想到在线攻击–就像Yahoo和TalkTalk最近报道的那样。尽管这种攻击方式对企业来说是一个主要且日益严重的威胁,但我们不能低估纸张的力量。

每个个人和公司都使用纸张以一种或另一种方式存储信息,并且在使用后将其简单地扔到垃圾箱中并不意味着要视而不见。纸质违规是访问私人信息的一种常见方法,有时甚至是一种简便方法,因此,在处理私人信息时应高度重视。相同的规则适用于办公设备,例如打印机,USB记忆棒和硬盘驱动器,即使擦除后仍可继续保存数据。

无法保护敏感信息–纸质和数字–根据《数据保护法》可能会被处以巨额罚款。但是,在2018年,它将被新的欧盟数据保护条例(GDPR)取代,该条例将对所有部门的数据收集,存储和访问方式产生重大影响,尽管英国退欧,这仍将影响英国企业。

根据新规定,对数据泄露的罚款将更高(以百万计),并且欧洲公民将对所拥有的信息拥有更大的控制权和更多权利。例如,如果人们希望删除有关他们的旧数据或不正确的数据,他们将拥有“被遗忘的权利”。因此,任何持有有关欧盟公民身份信息的公司,无论其身在何处,都需要注意。

随着数据法律的重大变化即将到来,信息泄露已经非常频繁地出现,问题是:公司如何管理和安全销毁敏感数据以避免泄露?

保护敏感数据的八个重要技巧:

  1. 人为错误–确保所有员工都受过教育
    据估计,80%的数据泄露源于人为错误。因此,至关重要的是,员工必须了解他们的期望并了解未能保护敏感数据的后果。这项责任的范围与临时职员一样多。
  2. 数据保护–定期查看您的政策
    数据保护政策应该是最新的,符合现行法规并根据业务变化进行审查。定期的培训计划(包括频繁的复习课程)至关重要,因为处理数据的法规和规则可能会发生变化。现在就开始为欧盟GDPR做准备。
  3. 敏感数据–安全存储并限制访问
    确保所有包含敏感信息的纸质文件和媒体设备安全地存储在现场或第三方中,这一点很重要。定期备份计算机上存储的信息,并将其保存在安全的单独位置。限制员工访问敏感数据也是明智的选择,无论是在线还是纸上,都只允许访问其工作所需的信息。
  4. 数据处理–消除混乱的风险
    实施“全部切细”政策将消除工作人员可能对分类为机密材料的任何困惑,并消除人为错误的风险。还应擦除计算机,笔记本电脑和USB等电子设备中的数据–所有这些都应存储在上锁的容器或房间中,等待安全处理。
  5. 零售销毁–确保零售商品不进入黑市
    应当正确销毁所有类型的错印或叠印的零售商品,例如服装,鞋子或书籍,以保护公司的品牌。
  6. 加密和密码保护–保护所有电子设备
    密码应定期更改,工作人员需要知道何时进行更改。最佳实践是确保密码至少使用六到八个字母,数字和特殊字符的组合(使用大写和小写),以减少密码被泄露的风险。加密增加了另一级别的数据隐私,应放在所有设备上,包括移动机器,后备磁带和便携式计算机。
  7. 报告违规和更新策略–分配所有权
    知道由谁负责举报违规行为至关重要。新规定强调必须立即报告违规行为–除非您公司的CIO放假再离开,否则别无选择。因此,分配一个人或一个小团队来拥有所有权是必不可少的。

此外,由于欧盟GDPR对违规行为的罚款将被定为全球年营业额的5%,因此至关重要的是,同一个人或团队负责保持最新法规并引入任何变更。

  1. 办公设备–妥善处理
    带有硬盘驱动器的多功能设备(例如复印机,扫描仪和打印机)可能包含敏感信息,例如打印和扫描的文档的副本,并且存在潜在的数据风险。这些必须由信誉良好的公司收集并安全销毁。

到2018年,公司将需要人们的明确同意才能收集其个人数据。因此,尽早完成这些流程。任何存储个人数据的公司都应考虑保留数据的合法依据以及如何将其传达给客户。

 

安全销毁服务经理Ann Sellar撰文, 皇冠记录管理

 

参加大会,了解如何确保贵公司为实施GDPR做好充分准备 GDPR峰会系列,旨在帮助企业在2018年5月及以后准备满足GDPR的要求。

有关更多信息和会议详细信息,请访问: www.gdprsummit.london

供电 字型