是PII机密性保障措施?
<h1>保护个人身份信息的机密性指南(PII)(草案)</h1>
<blockquote>以下是此情况的其他问题:<br /></blockquote>
<h2>保护PII和机密性保障措施</h2>
<p>要求组织确定居住在组织内或在组织控制下的所有PII. 他们应该使用各种技术来识别PII. 识别PII的一些技术包括审查系统文档,使用数据丢失预防(DLP)技术,例如自动PII网络监控工具,或使用系统和数据所有者检查. 组织还应确保退休的硬件不再包含PII,并且应用了适当的消毒技术. <em>[NIST-800-122]</em></p>
<h2>确定PII机密性影响水平</h2>
<p>组织应考虑一些重要因素,以确定PII机密性丧失的影响. 所有相关因素都应共同考虑,因为影响水平可能受到影响. <em>[NIST-800-122]</em></p>
<p>1. <strong>可识别性:</strong> 评估PII可以轻松地用于识别特定个体</p>
<p>2. <strong>PII的数量:</strong> 考虑在信息中识别多少个人(例如记录数).</p>
<p>3. <strong>数据场灵敏度:</strong> 评估每个PII数据字段的灵敏度. 个人的社会安全号码,医疗或财务帐户信息通常被认为更敏感</p>
<p>4. <strong>使用上下文:</strong> 使用上下文定义为为此目的,为此收集,存储,使用,处理,披露或传播PII.</p>
<p>5. <strong>保护机密性的义务:</strong> 许多组织受到管理保护PII义务的法律,法规或其他授权,例如1974年《隐私法》,1996年的HIPAA和GDPR等.</p>
<p>6. <strong>访问PII的位置:</strong> 考虑授权访问PII的性质,无论是在组织的直接控制之外存储还是从内部访问PII.</p>
<p>表1:总结安全漏洞的潜在影响 <em>[FIPS-199/NIST-800-122]</em></p>
<h2>保障机密性</h2>
<p>PII应通过多种措施来保护PII,包括操作保障措施,特定于隐私的保障措施和安全控制. 组织应使用基于风险的方法来保护PII的机密性. <em>[NIST-800-122]</em></p>
<p><strong>1. 操作保障</strong></p>
<p>A. 创建政策和程序</p>
<p>我. 系统中PII的访问规则</p>
<p>ii. PII保留时间表和程序</p>
<p>iii. 系统开发生命周期过程中的隐私</p>
<p>iv. PII的收集,披露,共享和使用的限制</p>
<p>v. PII事件响应和数据泄露通知</p>
<p>vi. 未能遵循隐私规则的后果</p>
<p>b. 意识,培训和教育</p>
<p>我. PII的定义</p>
<p>ii. 适用的隐私法,法规和政策</p>
<p>iii. 使用和保护PII的角色和职责</p>
<p>iv. 适当处理PII</p>
<p>v. 滥用PII的制裁</p>
<p>vi. 承认涉及PII的安全性或隐私事件</p>
<p>vii. 响应与PII相关事件和报告的角色和职责</p>
<p><strong>2. 特定于隐私的保障措施</strong></p>
<p>A. 最大程度地减少PII的使用,收集和保留</p>
<p>隐私的基本原则是将PII的使用,收集和保留最小化的公平做法. 组织应考虑使用,收集和维护的PII总量以及PII类型的类型AD类别,只要为当前的业务目的需要.</p>
<p>b. 进行隐私影响评估</p>
<p>PIA是用于识别和减轻隐私风险的结构化过程,PIA应在系统开发生命周期的每个阶段应对机密性风险(SDLC).</p>
<p>C. 去识别信息</p>
<p>术语被取消识别的信息用于描述已删除或掩盖足够的PII的记录,或者被掩盖或混淆,以使剩余的PII无法识别个人. 可以通过使用代码,算法或化名来重新识别识别信息,将其分配给单个记录.</p>
<p>d. 匿名信息</p>
<p>信息的匿名化通常涉及这些技术,以确保无法重新识别数据.</p>
<p><strong>3. 安全控制</strong></p>
<p>安全控制通常已经在系统上实现,以保护系统处理,存储或传输的其他类型的数据.</p>
<p><em>A. 访问控制执法</em></p>
<p>组织可以通过访问控制策略和访问执法机制来控制对PII的访问.</p>
<p> <em>我. 分离职责</em></p>
<p>组织可以执行涉及访问PII的职责的职责分离</p>
<p> <em>ii. 至少特权</em></p>
<p>组织可以执行用户执行指定任务所需的大多数受限的权利或特权或访问权限</p>
<p> <em>iii. 远程访问</em></p>
<p>组织可以选择禁止或严格限制对PII的远程访问. 如果允许远程访问,组织应确保对通信进行加密</p>
<p> <em>iv. 基于用户的协作和信息共享</em></p>
<p>组织可以提供自动机制,以帮助用户确定访问授权是否符合PII的访问限制</p>
<p> <em>v. 移动设备的访问控制</em></p>
<p>组织可以选择禁止或严格限制从便携式设备和移动设备中访问PII的访问,这些设备通常处于较高的风险.</p>
<p><em>b. 审核活动</em></p>
<p>组织可以监视影响PII机密性的事件,例如未经授权访问PII</p>
<p> <em>我. 审核,审查,分析和报告</em></p>
<p>组织可以定期审查和分析信息系统的审计记录,以了解影响PII的不适当或异常活动,调查可疑活动或涉嫌违规行为</p>
<p><em>C. 识别和身份验证</em></p>
<p>可以在访问PII之前唯一识别用户并进行身份验证. 身份验证机制的强度要求取决于PII和整个系统的影响水平.</p>
<p><em>d. 媒体访问保护</em></p>
<p>我. 组织可以限制对包含PII的信息系统媒体的访问,包括数字媒体和非数字媒体</p>
<p>ii. 组织可以是标签信息系统媒体和包含PII的输出,以指示应如何分发和处理。</p>
<p>iii. 组织可以用纸张和数字形式安全地存储PII,直到使用批准的设备,技术和程序对媒体进行破坏或消毒</p>
<p>iv. 组织可以保护数字和非数字媒体以及包含PII的数字媒体和移动设备,该设备在组织的受控领域之外运输</p>
<p>v. 组织可以在处置或发布之前对包含PII的数字媒体进行消毒,以重复使用</p>
<p><em>e. 传输机密性</em></p>
<p>组织可以通过加密通信或加密信息来保护传输PII的机密性</p>
<p><em>F. 静止的信息保护</em></p>
<p>组织可以保护PII在休息时的机密性,例如硬盘驱动器或备用磁带</p>
<p><em>G. 信息系统监视</em></p>
<p>组织可以部署自动化工具来内部或网络边界监视PII,以进行异常或可疑转移或事件</p>
<h2>保护个人身份信息的机密性指南(PII)(草案)</h2>
<h2>保护个人身份信息的机密性指南(PII)(草案)</h2>
<h2>保护个人身份信息的机密性指南(PII)(草案)</h2>
<p>国家标准技术研究所的建议</p>
<p>Erika McCallister Tim Grance Karen Scarfone</p>
<p>特别出版物800-122(草案)</p>
<h3>执行摘要</h3>
<p>在过去的几年中,违反个人身份信息(PII)已大大增加,并导致了数百万记录的损失. 1违反PII对个人和组织都是危险的. 个人伤害可能包括身份盗用,尴尬或勒索. 组织危害可能包括损失公共信任,法律责任或高昂的费用以应对违规行为. 为了适当保护PII的机密性,组织应使用基于风险的方法;正如McGeorge Bundy 2曾经说过的那样:“如果我们以同等的热情保护牙刷和钻石,我们将失去更少的牙刷和更多的钻石.”本文档为保护PII的机密性3提供了基于风险的方法的准则.</p>
<p>本文档中的建议主要用于u.s. 联邦政府机构和代表机构开展业务的人4,但其他组织可能会发现部分出版物有用. 每个组织都可以遵守与保护PII有关的法律,法规和其他任务的不同组合,因此应咨询组织的法律顾问和隐私官员,以确定当前的PII保护义务. 例如,管理与预算办公室(OMB)发布了几个备忘录,对联邦机构必须如何处理和保护PII有要求.</p>
<p>为了有效保护PII,组织应执行以下建议.</p>
<p>组织应确定所有居住在其环境中的PII.</p>
<p>组织无法正确保护它不知道的PII. 本文档使用OMB备忘录的PII的广泛定义07-16 5来确定与PII有关的尽可能多的潜在风险来源. OMB将PII定义为“可用于区分或跟踪个人的身份的信息,例如其名称,社会安全号码,生物识别记录等. 单独,或与其他个人或识别信息相结合的信息,这些信息与特定个人链接或链接时,例如出生日期和地点,母亲的少女名称等.” PII的例子包括但不限于:</p>
<ul>
<li>名称,例如全名,少女姓名,母亲的娘家姓或别名 <br /></li>
<li>个人身份证号码,例如社会保险号(SSN),护照号码,驾驶执照号码,纳税人身份证号或财务帐户或信用卡号码 <br /></li>
<li>地址信息,例如街道地址或电子邮件地址 <br /></li>
<li>个人特征,包括摄影图像(尤其是面部或其他区别特征),指纹,手写或其他生物识别图像或模板数据(E.G., 视网膜扫描,语音签名,面部几何形状).</li>
</ul>
<p>组织应按PII机密影响水平对PII进行分类.</p>
<p>所有PII并非平等创建. 应评估PII以确定其PII机密性影响水平,以便可以将适当的保障措施应用于PII. PII机密性影响水平 – 低,中等或高 – 表示如果PII不适当地访问,使用或披露,可能会给主题和/或组织带来的潜在伤害. 本文档提供了组织在确定PII机密性影响水平时应考虑的因素列表. 每个组织应确定将使用哪些因素来确定影响水平,然后创建和实施适当的政策,程序和控制. 以下是因素的例子:</p>
<ul>
<li>可区分性. 组织应评估PII可以使用特定个人的容易. 例如,SSN唯一标识一个人,而电话区域代码可以映射到许多人. <br /></li>
<li>聚集和数据场灵敏度. 组织应评估每个PII数据字段的灵敏度,以及PII数据字段的灵敏度. 例如,个人的SSN或财务帐号通常比个人的电话号码或邮政编码更敏感. 同样,个人的姓名和财务帐号的组合比单独的名称更敏感. <br /></li>
<li>使用上下文. 组织应评估使用的背景,这是收集,存储,使用,处理,披露或传播PII的目的. 使用的上下文可能会导致相同的PII数据元素根据其使用分配不同的PII机密性影响水平. 例如,假设组织有两个包含相同PII数据字段的列表(E.G., 名称,地址,电话号码). 第一个列表是订阅该组织生产的一般利益通讯的人,第二个名单是在执法部门工作的人. 对于每个列表,对受影响个人和组织的潜在影响都大不相同. <br /></li>
<li>保护机密性的义务. 在确定PII机密性影响水平时,应遵守保护PII的任何义务的组织应考虑此类义务. 保护的义务通常包括法律,法规或其他授权(e.G., 隐私法,OMB指导). 例如,一些联邦机构,例如人口普查局和国税局(IRS),应遵守特定的法律义务,以保护某些类型的PII. 6 <br /></li>
<li>访问PII的位置. 组织可以选择考虑授权访问和PII的位置的性质. 当更频繁地或更多的人和系统访问PII,或者PII经常传输或运输异地时,就有更多机会损害PII的机密性.</li>
</ul>
<p>组织应根据PII机密影响水平对PII应用适当的保障措施.</p>
<p>并非所有的PII都应以相同的方式保护. 组织应采用适当的保障措施来根据PII机密性影响水平来保护PII的机密性. 某些PII不需要保护其机密性,例如组织有许可或授权公开释放的信息(e.G., 组织的公共电话目录). NIST建议使用一般保护措施,特定于特定的保护措施和安全控制7用于其他类型的信息,例如:</p>
<ul>
<li>制定政策和程序. 组织应制定全面的政策和程序来保护PII的机密性. <br /></li>
<li>进行培训. 组织应通过要求所有个人在获得组织信息系统之前接受适当的培训来减少访问,使用或披露PII的可能性. <br /></li>
<li>DE识别PII. 组织可以通过删除足够的PII来取消识别记录,从而使其余信息不能识别个人,并且没有合理的依据相信可以使用该信息来识别个人. 当不需要完整的数据记录时,可以使用去识别的记录,例如检查相关和趋势的检查. <br /></li>
<li>使用访问执法. 组织可以通过访问控制策略和访问执法机制来控制对PII的访问(e.G., 访问控制列表). <br /></li>
<li>实施移动设备的访问控制. 组织可以禁止或严格限制从便携式和移动设备(例如笔记本电脑,手机和个人数字助手)(PDA)访问PII的,它们通常比不可便携式设备更高(E)(E.G., 组织设施的台式计算机). 组织可能会选择禁止所有远程远程访问和远程访问,涉及PII的较高效果实例,以免通过远程运营活动来离开组织的身体界限. <br /></li>
<li>提供传输机密性. 组织可以保护传输PII的机密性. 这通常是通过加密通信或通过对信息进行加密来完成的. <br /></li>
<li>审计活动. 组织可以监视影响PII机密性的事件,例如不适当访问PII.</li>
</ul>
<p>组织应最大程度地减少PII的收集和保留,以实现其业务目的和使命是严格必要的.</p>
<p>如果组织将其收集和存储的PII降至最低,则由违反PII造成的伤害的可能性大大降低. 组织应将PII的收集和保留限制为执行其业务目的和使命所需的最少数量. 例如,如果PII绝对必要. 此外,组织应定期审查其先前收集的PII持有的持有,以确定PII是否仍然是相关的,并且需要实现组织的商业目的和使命. 例如,组织可能会举办年度PII清除意识日. 8</p>
<p>OMB M-07-16专门要求机构:</p>
<ul>
<li>查看PII的当前持有,并确保它们是准确,相关,及时和完整的 <br /></li>
<li>将PII持有量减少到适当执行代理职能所需的最低限度 <br /></li>
<li>制定时间表以定期审查PII持有</li>
<li>制定一个计划,以消除不必要的SSN收集和使用.</li>
</ul>
<p>组织应制定事件响应计划来处理违反PII.</p>
<p>违反PII对个人和组织都是危险的. 可以通过制定有效的PII违规事件响应计划来遏制和最小化个人和组织的伤害. 组织应制定计划9,其中包括确定何时以及应如何通知个人,何时以及是否应公开报告违规行为,以及是否向受影响的个人提供补救服务(例如信用监控). 组织应将这些额外政策整合到其现有事件处理政策中.</p>
<p>组织应在解决与PII相关的问题时鼓励其隐私官,首席信息安全官和法律顾问之间的密切协调.</p>
<p>保护PII的机密性需要了解信息系统,信息安全,隐私和法律要求. 有关特定法律,法规或其他授权的适用性的决定应与组织的法律顾问和隐私官员协商,因为相关法律,法规和其他授权通常很复杂,并且会随着时间的推移而变化. 此外,新政策通常需要实施技术安全控制以执行政策. 相关专家的密切协调有助于通过确保正确解释和实施要求来防止PII违规.</p>
<h2>1. 介绍</h2>
<h3>1.1权威</h3>
<p>国家标准技术研究所(NIST)根据2002年的《联邦信息安全管理法》(FISMA),公共法107-347制定了该文件的法定责任.</p>
<p>NIST负责制定标准和准则,包括最低要求,以为所有代理机构运营和资产提供足够的信息安全性,但是此类标准和准则不适用于国家安全系统. 该指南与管理与预算办公室(OMB)A-130,第8B(3)节,“保护代理信息系统”的要求一致,如A-130,附录IV:关键部分的分析. 补充信息是在附录III的A-130中提供的.</p>
<p>该指南已准备好被联邦机构使用,也称为指南中的组织. 非政府组织可以在自愿的基础上使用它,但不受版权的影响,尽管需要归因.</p>
<p>根据法定当局,本文件中的任何内容都不应与商业部长对联邦机构的强制性和约束力相矛盾,也不应将这些准则解释为改变或取代商业部长现有的当局,主管, OMB或任何其他联邦官员.</p>
<h3>1.2目的和范围</h3>
<p>本文件的目的是协助联邦机构保护特定类别的数据的机密性,通常称为个人身份信息(PII). PII应保护不适当的访问,使用和披露. 本文档提供了基于上下文的实用指南,用于识别PII并确定适合于PII实例的哪种保护级别. 该文件还建议保护措施,可以为PII提供适当水平的保护,并为制定涉及PII的违规响应计划提供建议. 鼓励组织量身定制建议以满足其特定要求.</p>
<h3>1.3个观众</h3>
<p>该文档的主要受众是采用政策和程序来保护PII在联邦信息系统上的机密性的个人,以及与实施有关PII保护方法的系统级变更有关的技术和非技术人员. 扮演多个角色的个人应该发现此文件有用,包括主要隐私官和其他隐私官员,隐私倡导者,隐私支持人员,合规人员,系统管理员,首席信息系统安全官员,信息系统安全官员,信息安全支持人员,计算机安全人员,计算机安全事件响应小组和首席信息官.</p>
<h3>1.4文档结构</h3>
<p>本文档的其余部分将组织为以下各节:</p>
<ul>
<li>第2节提供了PII的介绍,并列出了一些涉及PII收集和处理的基本要求.</li>
<li>第3节描述了确定不适当访问,使用和披露PII的潜在影响的因素. <br /></li>
<li>第4节提出了几种保护PII机密性的方法,可以实施以降低PII暴露和风险.</li>
<li>第5节提供了为制定事件响应计划的建议.</li>
</ul>
<p>还包括以下附录以获取更多信息:</p>
<ul>
<li>附录A提供了与PII相关的方案和问题的样本,可以适应组织的练习. <br /></li>
<li>附录B提出了与保护PII机密性有关的常见问题(FAQ). <br /></li>
<li>附录C包含与私人信息有关的常见术语的定义. <br /></li>
<li>附录D提供了有关公平信息实践的其他信息,可能有助于理解大多数隐私法的框架. <br /></li>
<li>附录E包含与记录和验证敏感数据库提取物有关的常见问题解答. <br /></li>
<li>附录F提供了出版物中选定术语的词汇表. <br /></li>
<li>附录G包含出版物中使用的首字母缩写和缩写列表. <br /></li>
<li>附录H提供了一系列资源列表,这可能有助于个人对PII,PII保护和其他相关主题有更好的了解.</li>
</ul>
<h2>2. PII简介</h2>
<p>PII是最广泛地描述有关个人信息的最广泛的术语之一. PII的示例范围从个人的姓名或电子邮件地址到个人的财务和病历或犯罪历史. 未经授权的访问,使用或披露PII可以通过减少对组织的公众信任来造成身份盗用和组织的贡献,从而严重影响两个个人. 在许多情况下,负责保护PII实例需要额外机密保护以及在哪个层面的专业人员可能尚不清楚. 本节介绍了如何识别和定位在组织环境和/或在其控制下维护的PII11,并提供了公平信息实践的介绍. 第3和第4节讨论了分配PII影响水平和选择保护措施的因素. 第5节讨论了涉及PII的违规行为的事件响应.</p>
<h3>2.1识别PII</h3>
<p>该出版物使用OMB备忘录07-16、12的PII定义,该备忘录是“可用于区分或跟踪个人身份的信息,例如其姓名,社会保险号,生物识别记录等. 单独,或与其他个人或识别信息相结合的信息,这些信息与特定个人链接或链接时,例如出生日期和地点,母亲的少女名称等.透明</p>
<p>区分个人13是确定一个人. 一些可以区分个人的信息的示例. 相反,仅包含信用评分的列表没有足够的信息来区分特定个人.</p>
<p>链接或可链接的信息元素在单独考虑时不足以区分个体,但是当与二级信息源合并时可以区分个体. 例如,假设两个数据库包含不同的PII元素,并且还共享一些常见的PII元素. 具有访问两个数据库的个人可能能够将两个数据库的信息链接在一起并区分个人. 如果辅助信息源存在于同一系统或密切相关的系统上,则将数据视为链接. 如果辅助源可用于公众或可以从组织内的无关系统中获得,则数据被视为可连接的. 链接的数据通常以某种方式取消识别(如第4节所述),并且某些系统用户可以使用重新识别的信息. 可链接的数据也经常被取消识别,但是可以针对其他数据源(例如电话目录和其他可用于大型人社区的来源)分析其余数据,以区分个人.</p>
<p>组织应使用多种方法来识别组织内部或组织在组织控制下的所有PII(e).G., 由承包商开发和测试的系统). 隐私阈值分析(PTA),也称为初始隐私评估(IPA),通常用于识别PII. 14一些组织要求在开发或获取新信息系统之前完成PTA,以及对现有信息系统进行实质性更改时. PTA用于确定系统是否包含PII,是否需要隐私影响评估,是否需要记录通知系统(SORN),以及是否适用于信息系统. PTA应提交给组织的隐私办公室进行审查和批准. PTA通常由系统所有者完成的简单问卷组成. PTA可用于启动隐私官,信息安全官员和信息官之间的每个系统的沟通和协作. 识别PII的方法的其他示例包括审查系统文档,进行访谈,进行数据调用或与系统所有者进行检查.</p>
<h3>2.2 PII数据的示例</h3>
<p>以下列表包含可能被视为pii的信息示例. 15</p>
<ul>
<li>名称,例如全名,少女姓名,母亲的娘家姓或别名 <br /></li>
<li>个人身份证号码,例如SSN,护照号码,驾驶执照号码,纳税人身份证号,患者身份证号以及财务帐户或信用卡号16 <br /></li>
<li>地址信息,例如街道地址或电子邮件地址 <br /></li>
<li>资产信息,例如Internet协议(IP)或媒体访问控制(MAC)地址或其他特定于主机的持续静态标识符,这些静态标识符始终链接到特定的人或小的,定义的人群 <br /></li>
<li>电话号码,包括手机,业务和个人电话号码 <br /></li>
<li>个人特征,包括摄影图像(尤其是面部或其他区别特征),X射线,指纹或其他生物识别图像或模板数据(E.G., 视网膜扫描,语音签名,面部几何形状) <br /></li>
<li>识别个人财产的信息,例如车辆注册或标识号,标题编号和相关信息 <br /></li>
<li>有关链接或可以链接到上述一个人的个人的信息(e.G., 出生日期,出生地点,种族,宗教,体重,活动或就业,医疗,教育或财务信息). <br /></li>
</ul>
<h3>2.3 PII和公平信息实践</h3>
<p>PII的保护和记录的整体隐私是对个人记录受到威胁的个人的关注,对于可能不适当地访问,使用或披露的个人可能有责任或可能损坏其声誉的组织。. PII的处理与其他类型的数据不同,因为它不仅需要受到保护,而且还需要根据联邦法律进行收集,维护和传播. 17《隐私法》以及其他隐私法都基于公认的公平信息实践,也称为隐私原则. 有五个核心博览会</p>
<p>基于几项国际报告和准则的共同元素或隐私原则的信息实践18. 这些核心实践如下:</p>
<ul>
<li>通知/意识 – 在从他们那里收集任何个人信息之前,应向个人通知组织的信息实践. <br /></li>
<li>选择/同意 – 应该选择个人如何使用有关信息的信息. <br /></li>
<li>访问/参与 – 个人应有权访问有关它们的信息并请求更正,以确保信息准确而完整. <br /></li>
<li>诚信/安全性 – 数据收集器应确保通过合理的安全保障措施保护信息,以防止损失或未经授权的访问,破坏,使用,修改或披露数据的风险. <br /></li>
<li>执法/补救 – 数据收集者应负责遵守上述实践的措施.</li>
</ul>
<p>有关公平信息实践的更多信息,包括公平信息实践的变化摘要,请参见附录D.</p>
<h2>3. PII机密性影响水平</h2>
<p>该出版物的重点是保护PII免受机密性的损失. 法律将机密性的安全目标定义为“保留有关信息访问和披露的授权限制,包括保护个人隐私和专有信息的手段.” 19诚信和可用性的安全目标对于PII也可能很重要,组织应使用NIST风险管理框架来确定适当的完整性和可用性影响水平. 组织还可能需要考虑对PII特定的增强功能,以提高到完整性或可用性影响水平. 例如,医学测试结果的恶意改变可能危害个人的生命.</p>
<p>PII的机密性应根据其风险水平进行保护. 本节概述了确定PII特定实例的PII机密性影响水平的因素,这与联邦信息处理标准(FIPS)出版物中所述的机密性影响水平199,联邦信息和信息系统安全分类标准. 20 PII机密性影响水平考虑了其他PII的注意事项,应用于确定是否应实施其他保护措施. PII机密性影响水平 – 低,中等或高 – 表示如果PII不适当地访问,使用或披露,可能会给主题和/或组织带来的潜在伤害. 一旦选择了PII机密性影响水平,应使用它来补充临时机密性影响水平,这是根据FIPS 199中概述的信息和系统分类流程确定的,NIST特别出版物(SP)800-60,卷1和2:将信息和信息系统映射到安全类别的指南. 21</p>
<p>某些PII不需要保护其机密性,例如组织有许可或授权公开释放的信息(e.G., 一个组织发布员工姓名和工作电话号码的电话目录,以便公众可以直接与他们联系). 在这种情况下,PII机密性影响水平将不适用,不会用于补充系统的临时保密影响水平. 不需要机密性保护的PII仍可能需要其他安全控制以保护信息的完整性和可用性,并且组织应基于指定的FIPS 199影响水平提供适当的安全控制.</p>
<h3>3.1个影响水平定义</h3>
<p>试图确定哪种PII机密性影响水平对应于一组特定的PII数据,应考虑因失去机密性造成的伤害. 出于本文档的目的,危害包括一个人,其PII是丧失机密性的人以及组织所经历的任何不利影响的人都会遭受的任何不利影响. 对个人的伤害包括任何负面或不必要的影响(i.e., 这可能是社会,身体或财务上的破坏). 对个人的伤害类型的例子包括但不限于勒索,身份盗用,身体伤害,歧视或情绪困扰的潜力. 组织还可能因组织维护的PII机密性而造成伤害 – 包括但不限于行政负担,财务损失,公众声誉和公众信心以及民事责任. <br /></p>
<p>以下描述了FIPS 199中定义的三个影响水平 – 基于涉及特定系统的安全漏洞的潜在影响:22</p>
<p>“如果保密性,完整性或可用性的丧失可能对组织运营,组织资产或个人产生有限的不利影响,那么潜在的影响会很低. 有限的不利影响意味着,例如,机密性,诚信或可用性的丧失可能(i)在组织能够执行其主要职能的程度和持续时间内导致任务能力的退化,但是功能明显降低; (ii)导致对组织资产的损失很小; (iii)导致较小的财务损失;或(iv)对个人造成轻微伤害.</p>
<p>如果保密性,完整性或可用性的丧失可能对组织运营,组织资产或个人产生严重的不利影响,那么潜在的影响是中等的. 严重的不利影响意味着,例如,机密性,诚信或可用性的丧失可能(i)在组织能够执行其主要职能的程度和持续时间内会导致任务能力的重大降级,但是功能大大降低; (ii)对组织资产造成重大损害; (iii)导致重大财务损失;或(iv)对不涉及生命损失或严重威胁生命伤害的个人造成重大伤害.</p>
<p>如果保密,完整性或可用性的丧失可能会对组织运营,组织资产或个人产生严重或灾难性的不利影响,那么潜在的影响会很大. 严重或灾难性的不利影响意味着,例如,机密性,完整性或可用性的丧失可能(i)在一定程度上和持续时间内导致严重的任务能力或损失,以至于组织无法执行一个或一个或更多的主要功能; (ii)导致组织资产的重大损害; (iii)导致重大财务损失;或(iv)对涉及生命丧失或严重威胁生命伤害的个人造成严重或灾难性的伤害.透明</p>
<p>如这些影响水平所述的对个人的伤害更容易理解. 违反PII在低影响水平上的机密性不会造成不便的伤害,例如更改电话号码. 在中等影响水平上违反PII可能造成的伤害类型包括由于身份盗用或拒绝福利,公众屈辱,歧视以及勒索的潜力而造成的财务损失. 高影响力的伤害涉及严重的身体,社会或财务伤害,导致潜在的生命或不适当的身体拘留.</p>
<h3>3.确定PII机密性影响水平的2个因素</h3>
<p>确定PII机密性影响水平应考虑到相关因素. 组织应考虑的几个重要因素如下. 重要的是要注意,应该考虑相关因素。一个因素本身可能表明影响水平较低,但另一个因素可能表明影响水平很高,从而覆盖了第一个因素. 同样,针对这些因素的影响水平是出于说明目的。 PII的每个实例都是不同的,每个组织都有一套独特的要求和不同的任务. 因此,组织应确定哪些因素,包括特定于组织的因素,应用于确定PII机密性影响水平,并应创建和实施支持这些决定的政策和程序.</p>
<h4>3.2.1区分性</h4>
<p>组织应评估PII可以使用特定个人的容易. 例如,由个人名称,指纹和SSN组成的PII数据独特地识别个人,而由个人电话号码组成的PII数据仅需要使用其他数据源,例如电话目录,并且只允许一些独特的个人要识别(例如,如果多个人共享电话或未列出电话号码,则可能无法进行唯一的身份证). PII数据仅由个人的区域代码和性别组成,不允许确定任何独特的个人. 23易于区分的PII可能值得与PII更高的影响水平.</p>
<p>组织还可以选择考虑可以将多少个人与PII数据区分开. 违反25条记录和2500万记录可能会产生不同的影响,这不仅在对个人的集体损害方面,而且在对组织的声誉和组织的成本方面的危害方面也可能产生不同的影响。. 因此,组织可能会选择为特别大的PII数据集设置更高的影响水平. 但是,组织不应该为PII数据集设置较低的影响水平,仅仅是因为它包含少量记录.</p>
<h4>3.2.2聚合和数据场灵敏度</h4>
<p>组织应评估每个PII数据字段的灵敏度,以及PII数据字段的敏感性. 例如,个人的SSN或财务帐号通常比个人的电话号码或邮政编码更敏感,并且个人名称和SSN的组合不如个人名称的组合,SSN,出生日期,母亲的组合处女名称和信用卡号. 组织通常需要PII机密性影响级别,如果存在某个敏感的数据字段,例如SSN. 组织还可以将某些PII数据字段的某些组合视为更敏感,例如名称和信用卡号,而没有其他数据字段,而没有其他数据字段.</p>
<h4>3.2.3使用上下文 <br /></h4>
<p>使用上下文定义为收集,存储,使用,处理,披露或传播PII的目的,以及如何使用PII或可能使用该PII. 上下文的示例包括但不限于统计分析,确定福利的资格,福利,研究,税收管理或执法部门. 组织应评估使用的背景,因为了解数据元素的披露如何可能损害个人和组织很重要. 组织应考虑如果PII被披露(故意或偶然),或者仅仅披露PII的事实,可能会造成什么损害. 例如,如果仅收集有关特定个人的信息的事实,执法调查可能会受到损害.</p>
<p>使用上下文可能导致相同类型的PII数据的多个实例分配了不同的PII机密性影响水平. 例如,假设组织有三个包含相同PII数据字段的列表(E.G., 名称,地址,电话号码). 第一个列表是订阅组织制作的一般新闻通讯的人. 第二个名单是已申请退休金的人,第三个名单是在执法部门工作的个人. 对于三个列表中的每一个,对受影响个人和组织的潜在影响都大不相同. 仅基于使用的上下文,这三个列表可能分别值得低,中等和高的影响水平.</p>
<p>与使用背景相关的主题示例是确定PII机密性影响水平的因素的示例;酒精,药物或其他成瘾产品;非法行为;非法移民身份;信息损害财务状况,就业能力或声誉;导致社会污名化或歧视的信息;政治;心理健康或心理健康;宗教;同性合作伙伴;性行为;性取向;税以及由于特定的文化或其他因素而引起的其他信息. 24</p>
<h4>3.2.4保护机密性的义务</h4>
<p>在确定PII机密性影响水平时,应遵守保护PII的任何义务的组织应考虑此类义务. 许多组织遵守法律,法规或其他授权25管理个人信息的义务,例如1974年《隐私法》,OMB备忘录以及1996年的《健康保险可移植性和责任法》(HIPAA)(HIPAA). 此外,一些联邦机构,例如人口普查局和国税局(IRS),应遵守其他特定的法律义务,以保护某些类型的PII. 27一些组织还根据其角色遵守特定的法律要求. 例如,通过从事金融活动充当金融机构的组织受到《语法 – 莱希利法》(GLBA)的约束。. 28此外,一些用于统计目的的PII的机构遵守《机密信息保护和统计效率法》(CIPSEA)的严格机密要求(CIPSEA). 29违反许多法律的行为可能导致民事或刑事处罚. 组织也可能有义务通过自己的政策,标准或管理指令来保护PII.</p>
<p>例如,根据1974年《隐私法》(Privacy Act Act)检索信息的政府服务受益人的PII数据库将被视为记录系统,并且该组织将被要求为数据库提供适当的行政,技术和物理保障措施. 有关特定法律,法规或其他授权的适用性的决定应与组织的法律顾问和隐私官员协商,因为相关法律,法规和其他授权通常很复杂,并且会随着时间的推移而变化.</p>
<h4>3.2.5进入PII的位置</h4>
<p>组织可以选择考虑授权访问PII的性质. 当更频繁地或更多的人和系统访问PII时,PII的机密性有更多的机会。. 另一个要素是访问PII的范围,例如是否需要从远程办公的系统和组织直接控制之外的其他系统访问PII. 这些考虑因素可能导致组织为广泛访问的PII分配更高的影响水平,而不是以其他方式分配的,以帮助减轻访问性质造成的风险增加.</p>
<p>此外,组织可能会选择考虑员工存储或定期运送现场的PII,应分配更高的PII保密影响水平. 例如,测量师,研究人员和其他现场员工通常需要将PII存储在笔记本电脑或可移动媒体上,作为其工作的一部分. PII位置的异地更容易受到未经授权的访问或披露的影响,因为它比存储在组织的物理边界内的PII更可能丢失或被盗.</p>
<h3>3.3 PII机密性影响水平示例</h3>
<p>以下是组织如何将PII机密性影响水平分配给PII的特定实例的示例. 这些示例旨在帮助组织更好地了解考虑各种影响水平因素的过程,它们不能代替分析自己情况的组织. 任何组织或特定系统中的某些情况,例如使用或保护的义务,可能会导致不同的结果.</p>
<p>保护义务是一个特别重要的因素,应在分类过程中早期确定. 由于应始终与组织的法律顾问和隐私官协商保护机密性的义务,因此未解决以下示例.</p>
<h4>3.3.1例1:事件响应名册</h4>
<p>一个组织维护其计算机事件响应小组成员的名册(电子和纸张格式). 如果IT工作人员检测到任何类型的安全漏洞,则标准做法要求工作人员与名册上列出的适当人员联系. 因为该团队在事件发生时可能需要密切协调,所以联系信息包括姓名,专业标题,办公室和工作手机号码以及工作电子邮件地址. 该组织在其主要网站上为其所有员工提供了相同类型的联系信息。.</p>
<p>可区分性:信息直接识别少数个人(少于20).</p>
<p>汇总和数据字段敏感性:尽管阵容只能向团队成员提供,但名册中包含的个人的信息已经可以在组织的网站上向公众提供.</p>
<p>使用上下文:个人姓名和联系信息的发布不太可能对个人造成伤害,并且披露组织已收集或使用此信息的事实也不太可能造成伤害.</p>
<p>PII的访问和位置:信息由IT人员访问,以检测安全漏洞,以及团队成员本身. 需要向远程办公和呼叫IT的员工提供PII,以便可以快速启动事件响应.</p>
<p>考虑到这些因素,组织确定未经授权的访问阵容可能会造成很小或没有伤害,并且它选择分配PII机密性影响较低的水平.</p>
<h4>3.3.2示例2:Intranet活动跟踪</h4>
<p>组织为员工访问的Intranet网站维护网络使用审核日志. Web使用审核日志包含以下内容:</p>
<ul>
<li>用户的IP地址 <br /></li>
<li>该网站的统一资源定位器(URL)在访问此网站之前立即查看(i.e., 引用URL) <br /></li>
<li>用户访问网站的日期和时间 <br /></li>
<li>用户在网站上花费的时间 <br /></li>
<li>组织网站中访问的网页或主题(e.G., 组织安全政策).</li>
</ul>
<p>可区分性:本身,日志不包含任何可区分的数据. 但是,该组织具有另一个系统,其日志包含域登录信息记录,其中包括用户ID和相应的IP地址. 可以访问系统及其日志并花时间将信息关联的管理员可以区分个人. 可能,可以收集有关大多数涉及Web访问Intranet资源的组织的行为的信息. 该组织有少量的管理员,可以访问两个系统和两个日志.</p>
<p>汇总和数据字段敏感性:访问内部网页和主题的信息,如果页面涉及某些与人力资源相关的主题,例如用户搜索有关药物滥用程序的信息,则可能会引起一些尴尬. 但是,由于日志记录仅限于使用Intranet housed信息,因此潜在令人尴尬的信息的数量很小.</p>
<p>使用上下文:发布信息不太可能造成伤害,除了可以区分少数用户的少数用户之外. 登录正在发生的事实通常是已知和假设的,不会造成伤害.</p>
<p>PII的访问和位置:在调查操作问题时,少数系统管理员访问日志,并且在调查内部事件时偶尔会被少数事件响应人员访问. 所有对日志的访问仅来自组织自己的系统.</p>
<p>考虑到这些因素,组织确定违反日志机密性可能会造成很小或没有伤害,并且选择分配PII机密性影响低的低.</p>
<h4>3.3.3示例3:欺诈,浪费和滥用报告申请</h4>
<p>数据库包含网络表格的提交,这些个人声称可能欺诈,浪费或滥用组织资源和权威. 其中一些提交的指控包括指控个人接受贿赂或指责个人不执行安全法规. 不禁止提交联系信息,个人有时会在表格的叙事文本字段中输入其个人信息. 该网站由登录IP地址,引用网站信息以及在网站上花费的时间的服务器托管.</p>
<p>可区分性:默认情况下,数据库不请求可区分的数据,但是很大一部分用户选择提供可区分的信息. 最近的估计表明,该数据库有大约30个记录,并在近1000个记录中提供可区分的信息. Web日志不包含任何可区分的信息,也不容易与数据库或其他来源链接以识别特定的个人.</p>
<p>汇总和数据字段敏感性:数据库的叙述文本字段包含用户提供的文本,并且经常包含诸如姓名,邮寄地址,电子邮件地址和电话号码之类的信息. 该组织不知道此信息对个人的敏感程度,例如未列出的电话号码或用于有限私人通信的电子邮件地址.</p>
<p>使用的背景:由于提交的性质 – 报告欺诈,浪费或虐待的索赔 – 对个人身份的披露可能会导致某些人提出要求害怕管理层和同伴报应的人. 随后的伤害可能包括勒索,严重的情绪困扰,失业和身体伤害. 违反行为也会破坏提出索赔和公众的个人对组织的信任.</p>
<p>PII的访问和位置:数据库仅由少数调查欺诈,浪费和滥用索赔的人访问. 所有对数据库的访问仅来自组织自己的系统.</p>
<p>考虑到这些因素,组织确定违反数据库的机密性可能会对某些人造成灾难性伤害,并选择分配PII机密性影响高度的高度.</p>
<h2>4. PII机密性保护措施</h2>
<p>PII应通过多种措施来保护PII,包括一般保护措施,特定于隐私的保护措施和安全控制. 组织应使用基于风险的方法来保护PII的机密性. 本节提供的PII保护措施与其他数据的其他通用保护措施互补,可以用作组织保护PII机密性的全面方法的一部分.</p>
<h3>4.1个一般保护措施</h3>
<p>本节介绍了两种类型的一般PII保护:政策和程序创建;以及教育,培训和意识.</p>
<h4>4.1.1创建政策和程序</h4>
<p>组织应制定在组织级别,计划或组件级别处理PII的全面政策和程序,有时是系统级别.30某些类型的政策包括基本隐私原则,行为的隐私规则,实施法律和其他授权的政策以及系统级政策. 组织隐私原则是建立整体隐私计划并反映组织的隐私目标的基础. 基本的隐私原则也可以用作制定其他政策和程序的指南. 行为政策的隐私规则提供了有关PII正确交接的指导,以及未能遵守该政策的后果. 一些政策根据组织的授权业务目的和使命提供了有关组织环境中法律和OMB指南的指导. 组织应考虑制定以下主题的隐私政策和相关程序:</p>
<ul>
<li>开发隐私影响评估(PIAS)和与记录通知系统(SORNS)的协调 <br /></li>
<li>系统中PII的访问规则 <br /></li>
<li>PII保留时间表和程序</li>
<li>纠正</li>
<li>个人同意</li>
<li>数据共享协议</li>
<li>PII事件响应和数据泄露通知</li>
<li>系统开发生命周期过程中的隐私</li>
<li>PII的收集,披露,共享和使用的限制</li>
<li>未能遵循隐私规则的后果.<br /></li>
</ul>
<p>如果组织允许通过组织外部的互连系统访问或转移PII或通过其他方式共享PII,则组织应实施适当的记录协议,以实施有关角色和责任的限制,限制信息的进一步共享信息,对每种信息通知的要求政党在违反,最低安全控制和其他相关因素的情况下. 此外,应根据需要将互连安全协议(ISA)用于技术要求. 31这些协议确保合作伙伴组织遵守处理,披露,共享,传输,保留和使用该组织的PII的规则.</p>
<p>组织维护的PII也应反映在组织的事件响应政策和程序中. 定义明确的事件响应能力有助于组织快速检测事件,最大程度地减少损失和破坏,识别弱点并迅速恢复IT操作. OMB备忘录M-07-16提出了针对涉及PII损失或不当披露的报告事件的具体要求. 有关其他信息,请参见第5节.<br /></p>
<h4>4.1.2教育,培训和意识</h4>
<p>教育,培训和意识是不同的活动,每个活动对于隐私和安全计划的成功至关重要. 它们与保护PII有关的角色在下面简要介绍. NIST SP 800-50可以提供有关隐私教育,培训和意识的其他信息,建立信息技术安全意识和培训计划 .</p>
<p>意识工作旨在改变行为或加强所需的PII实践. 意识的目的是将注意力集中在保护PII上. 意识依赖于使用引人注目的技术来吸引组织中所有不同类型的员工. 对于PII保护,宣传方法包括通知员工新的骗局,这些骗局用于窃取身份,在新闻中提供有关隐私项目的最新信息,例如政府数据泄露及其对个人和组织的影响,以提供员工的示例对不当行动负责,并提供建议的隐私惯例.</p>
<p>培训的目的是建立知识和技能,使员工能够保护PII. 法律法规可能需要特别需要对员工,经理和承包商的培训. 组织应采用培训计划和实施方法,组织的领导应将保护PII的严重性传达给其员工. 组织政策应定义培训的角色和责任;培训前提条件以接收PII;以及培训期刊和复习培训要求. 为了减少访问,使用或披露不当的PII的可能性,所有被授予PII的人都应接受适当的培训. 根据涉及PII的角色和功能,要解决的重要主题可能包括:<br /></p>
<ul>
<li>PII的定义</li>
<li>适用于工作人员组织的基本隐私法,法规和政策</li>
<li>PII的数据收集,存储和使用限制</li>
<li>使用和保护PII的角色和职责</li>
<li>让组织的法律顾问或隐私官确定保护PII的法律义务</li>
<li>适当处理PII</li>
<li>滥用PII的属性</li>
<li>认识到涉及PII的安全性或隐私事件</li>
<li>PII的保留时间表</li>
<li>响应与PII相关事件的角色和责任.</li>
</ul>
<p>教育发展了一个共同的知识体系,反映了PII保护的所有专业和方面. 它用于开发能够实施隐私计划的隐私专业人员,使其组织能够主动应对隐私挑战.<br /></p>
<h3>4.2特定特定保护措施32</h3>
<p>特定特定的保护措施是保护PII机密性的控制. 这些控件通常不需要其他类型的数据的保护类型. 特定于特定的保护措施提供了其他保护措施,以帮助组织收集,维护,使用和传播数据,以保护数据的机密性.<br /></p>
<h4>4.2.1最小化PII的收集和保留</h4>
<p>最小化PII的收集和保留的实践是基本的隐私原则. 33 <br /></p>
<p>通过将PII收集限制为执行其使命所需的最少数量,该组织可能会在涉及PII的数据泄露情况下限制潜在的负面后果. 组织应考虑收集和维护的PII总量,以及收集和维护的PII类型和类别. 这种一般概念通常被缩写为“最低必要”原则. PII收集只能在此类收集对于满足组织的授权业务目标至关重要的情况下进行。. 如果PII没有目前的业务目的,则不应再收集PII.<br /></p>
<p>此外,组织应定期审查34先前收集的PII持有的持有,以确定PII是否仍然是相关的,并且需要实现组织的商业目的和使命. 35如果PII不再相关且必要,则应适当销毁PII. PII的破坏或处置必须根据《联邦记录法》和《国家档案记录管理局(NARA)批准》批准的《联邦记录法》和记录控制时间表进行。. 36根据NARA批准的处置时间表的有效管理和及时处理PII,将最大程度地降低未经授权披露的风险.<br /></p>
<h4>4.2.2识别信息</h4>
<p>完整的数据记录并不总是必要的,例如某些形式的研究,资源计划以及相关性和趋势的检查. 该术语被取消识别的信息用于描述已删除或遮盖足够的PII的记录,也称为掩盖或混淆,因此其余信息不能识别一个人,并且没有合理的依据可以相信信息可以相信这些信息可以相信信息被用来识别个人. 37可以通过使用代码,算法或假名来重新识别(可区分的)信息(可区分). 不得从有关个人的其他相关信息得出该守则,算法或化名. 掩盖PII的常见去识别技术是在PII上使用单向加密函数(也称为哈希函数). 可以将识别的信息分配给PII机密性影响水平的低,只要以下两个都是正确的:<br /></p>
<ul>
<li>重新识别算法,代码或化名是在单独的系统中维护的,并具有适当的控件,以防止未经授权访问重新识别信息.</li>
<li>通过公共记录或其他合理可用的外部记录,数据元素是不可链接的,以便重新识别数据.</li>
</ul>
<p>例如,可以通过从一组财务记录中删除帐号,姓名,SSN和任何其他可识别信息来实现去识别. 通过取消识别信息,趋势分析团队可以对系统中的这些记录进行无偏见的评论,而不会损害PII或为团队提供识别任何个人的能力. 另一个例子是在研究分析中使用医疗保健测试结果. 所有可区分的PII字段都可以删除,并且可以使用伪随机数据来遮盖患者ID,该数据链接到位于单独系统中的交叉引用表. 重建原始(完整)PII记录的唯一手段是通过授权访问交叉引用表.</p>
<p>此外,可以将去识别的信息汇总为统计分析的目的,例如进行比较,分析趋势或识别模式. 一个例子是用于评估几种不同类型的教育贷款计划的多组取消识别数据的汇总和使用. 数据描述了贷款持有人的特征,例如年龄,性别,地区和未偿贷款余额. 使用该数据集,一位分析师可以绘制统计数据,表明30-35岁年龄段的18,000名妇女的贷款余额超过10,000美元. 尽管原始数据集包含每个人的可区分身份,并且被认为是PII,但被取消识别和汇总的数据集将不包含任何个人的链接或易于区分的数据.<br /></p>
<h4>4.2.3个匿名信息</h4>
<p>匿名定义为无法“命名或识别).”它源自希腊语,意思是“没有名字.38同样,匿名信息被定义为已被识别的先前识别信息,并且不再存在代码或其他链接. 39匿名信息与去识别信息不同,因为无法重新识别匿名信息. 重新识别算法,代码或化名不存在或已删除,但不可用. 匿名信息通常涉及应用统计披露限制技术40,以确保无法重新确定数据,例如:41 <br /></p>
<ul>
<li>概括数据 – 使信息不那么精确,例如分组连续值</li>
<li>抑制数据 – 删除整个记录或记录的某些部分</li>
<li>将噪声引入数据 – 将少量变化添加到选定的数据中</li>
<li>交换数据 – 将一个记录的某些数据字段与另一个相似记录的相同数据字段交换(E.G., 交换两个记录的邮政编码)</li>
<li>用平均值替换数据 – 用整个数据组的平均值替换数据值.</li>
</ul>
<p>使用这些技术,信息不再是PII,但可以保留其有用和现实的属性. 42</p>
<p>匿名信息对于系统测试很有用. 43新开发,新购买或升级的大多数系统都需要进行测试,然后才能介绍其预期的生产环境. 测试通常应尽可能地模拟实际条件,以确保正确或升级的系统正确运行并有效地处理投影系统的容量. 如果在测试环境中使用PII,则必须在与生产环境中受保护的水平相同的水平上进行保护,这可以大大增加测试系统的时间和费用.</p>
<p>随机生成虚假数据代替PII来测试系统通常是无效的,因为可能需要保留PII的某些属性和统计分布以有效地测试系统. 有可用的工具将PII代替通过匿名PII生成的合成数据. 匿名信息保留了原始PII的有用属性,但匿名信息不被视为PII. 匿名数据替换是一种特定于隐私的保护措施,可以在减少PII的费用和增加时间的同时进行系统测试. 但是,并非所有数据都可以匿名化(e.G. 生物识别数据).<br /></p>
<h4>4.3个安全控制</h4>
<p>除了本节前面描述的PII特定保护措施外,许多类型的技术和操作安全控制都可以保护PII的机密性. 这些控件通常已经在系统上可用,以保护系统处理,存储或传输的其他类型的数据. NIST SP 800-53中列出的安全控件地址数据和系统的一般保护. 下面列出的项目是NIST SP 800-53个控件中的一些,可用于保护PII的机密性. 请注意,其中一些控件可能不在NIST SP 800-53中标识的基线的推荐的安全控件集中(E.G., 仅建议对高影响系统进行控制). 但是,组织可能会选择提供比建议的更大的保护;请参阅第3节.1在选择适当的控件时要考虑特征的讨论. 除了下面列出的控件外,NIST SP 800-53还包含许多其他可用于保护PII的控件,例如事件响应控制.</p>
<ul>
<li>访问执法(AC-3) . 组织可以通过访问控制策略和访问执法机制来控制对PII的访问(e.G., 访问控制列表). 这可以通过多种方式完成. 一个示例是实现基于角色的访问控制和配置,以便每个用户只能访问用户角色所需的数据片段. 另一个示例仅允许用户通过严格限制其对PII的访问的应用程序访问PII,而不是允许用户直接访问包含PII的数据库或文件. 44加密存储的信息也是实施访问执行的一种选项. 45 OMB M-07-16指定联邦机构必须“仅使用NIST认证的加密模块进行加密,除非确定数据不符合您的副秘书或副秘书或以书面形式敏感,否则所有携带机构数据的移动计算机/设备上的所有数据他/她可能会写作的高级个人”.</li>
<li>职责分离(AC-5) . 组织可以执行涉及访问PII的职责的职责分离. 例如,被取消识别的PII数据的用户也不会扮演角色,使他们能够访问重新识别记录所需的信息.</li>
<li>至少特权(AC-6) . 组织可以执行最严格的权利/特权或用户(或代表用户行动的流程)的最严格的访问权限或访问权限,以执行指定任务. 关于PII,组织可以确保必须访问包含PII的记录的用户只能访问最低数量的PII数据,以及这些特权(e).G., 读,写,执行)是履行职责所必需的.</li>
<li>远程访问(AC-17) . 组织可以选择禁止或严格限制对PII的远程访问. 如果允许远程访问,组织可以确保对通信进行加密.</li>
<li>移动设备的访问控制(AC-19) . 组织可以选择禁止或严格限制从便携式和移动设备(例如笔记本电脑,手机和个人数字助手)(PDA)(PDA)访问PII的,它们通常比不可便携式设备更高(E.G., 组织设施的台式计算机). 一些组织选择禁止所有远程远程访问和远程访问,涉及PII的较高影响实例,以免该信息留下组织的物理界限. 如果允许访问,组织可以确保设备正确安全并定期扫描设备以验证其安全状态(e.G., 防病毒软件启用和最新的操作系统完全修补).</li>
<li>审核活动(AU-2) . 组织可以监视影响PII机密性的事件,例如未经授权访问PII.</li>
<li>审核监视,分析和报告(AU-6) . 组织可以定期审查和分析信息系统审核记录,以了解影响PII不适当或不寻常的活动,调查可疑活动或怀疑违规行为,向适当的官员报告发现,并采取必要的行动.</li>
<li>用户识别和身份验证(IA-2) . 在访问PII之前,可以唯一识别和身份验证用户. 46身份验证机制的强度要求取决于PII和整个系统的影响水平. OMB M-07-16指定联邦机构必须“仅允许使用两因素身份验证远程访问,其中与计算机分开提供的设备提供了一个因素”,还必须“使用’超时’远程访问和移动设备的功能,需要用户重新认证30分钟后.透明</li>
<li>媒体访问(MP-2) . 组织可以限制对包含PII的信息系统媒体的访问,包括数字媒体(E.G., CD,USB闪存驱动器,备份磁带)和非数字媒体(E.G., 纸,缩微胶卷). 这也可能包括具有存储功能的便携式和移动设备.</li>
<li>媒体标记(MP-3) . 组织可以标记信息系统媒体和包含PII的输出,以指示应如何分发和处理。. 只要组织在安全的环境中,该组织就可以免除特定类型的媒体或输出的标签. 标签的示例是数字媒体上的打印输出和纸质标签上的封面.</li>
<li>媒体存储(MP-4) . 组织可以用纸张和数字形式安全地存储PII,直到使用批准的设备,技术和程序对媒体进行破坏或消毒. 一个例子是使用存储加密技术来保护存储在可移动介质上的PII.</li>
<li>媒体运输(MP-5) . 组织可以保护数字和非数字媒体以及包含PII的数字媒体和移动设备,该设备在组织的受控领域之外运输. 保护措施的示例是加密存储的信息并将媒体锁定在容器中.</li>
<li>媒体消毒(MP-6) . 组织可以在处置或发布之前对包含PII的数字媒体进行消毒,以重复使用. 47一个例子是在硬盘驱动器上脱气 – 在驱动器上施加磁场以使其无法使用.</li>
<li>传输机密性(SC-9) . 组织可以保护传输PII的机密性. 这通常是通过加密通信或通过对信息进行加密来完成的. 48</li>
</ul>
<h2>5. 违反PII的事件响应</h2>
<p>处理涉及PII的违规行为与常规事件处理不同,并且可能需要组织的其他行动. 涉及PII的违规行为可以受到极大的媒体关注,这可能会极大地损害组织的声誉并减少公众对组织的信任49. 此外,受影响的个体可能会因违反PII而受到尴尬,身份盗窃或勒索. 由于这些特殊的伤害风险,组织应制定其他政策,例如确定应何时以及如何通知个人,何时以及是否应公开报告违规行为,以及是否向受影响的个人提供补救服务,例如信用监控. 组织应将这些额外政策整合到其现有事件处理响应政策中.</p>
<p>Fisma要求联邦机构有处理信息安全事件的程序,并建立了一个联邦信息安全事件中心,以协调和共享有关事件的信息,这导致了U的创建.s. 计算机紧急准备小组(US-CERT). 此外,NIST在NIST SP 800-61修订1,计算机安全事件处理指南中提供了有关安全事件处理指南. 2007年,OMB发布了M-07-16.<br />应修改事件响应计划以处理涉及PII的违规行为. 事件响应计划还应解决如何最大程度地减少充分报告和应对违规所需的PII数量. NIST SP 800-61修订1描述了处理安全事件的四个阶段. 可以将涉及PII的漏洞的特定策略和程序添加到NIST SP 800-61中确定的以下每个阶段:准备;检测和分析;遏制,消除和恢复;和事后活动. 本节为这四个阶段中的每一个提供了有关PII特定考虑因素的更多详细信息.<br /></p>
<h3>5.1准备</h3>
<p>准备工作需要最大的努力,因为它设定了舞台以确保PII漏洞得到适当处理. 组织应在现有的事件响应计划中构建其PII违规响应计划. PII违规响应计划的制定要求组织就如何处理PII漏洞做出许多决定,并且应使用这些决定来制定政策和程序. 应通过培训和意识计划将政策和程序传达给组织的全体员工. 培训计划应告知员工对PII的不当使用和处理的后果.</p>
<p>组织应确定现有流程是否足够,如果不建立新事件报告方法供员工报告可疑或已知违反PII的事件. 该方法可以是电话热线,电子邮件或管理报告结构,在该结构中,员工知道与管理链中的特定人员联系. 员工应该能够在任何一天或时间立即报告任何PII违规. 此外,应为员工提供明确的定义,即构成PII漏洞以及需要报告哪些信息. 以下信息有助于从报告已知或怀疑的PII违规的员工那里获取:50 <br /></p>
<ul>
<li>报告事件的人</li>
<li>发现事件的人</li>
<li>发现事件的日期和时间</li>
<li>事件的性质</li>
<li>丢失或折衷的信息的描述</li>
<li>丢失或损害信息的存储介质</li>
<li>防止未经授权使用丢失或折衷信息的控件</li>
<li>潜在影响的个人数量</li>
<li>是否联系执法部门.</li>
</ul>
<p>联邦机构必须在一小时内以任何格式报告所有已知或怀疑的PII违反PII的违规行为. 51要履行这一义务,组织应主动计划其违规通知响应. PII违规行为可能需要向组织外部的人进行通知,例如执法机构,金融机构,受影响的个人,媒体和公众. 52个组织应提前计划如何,何时和向谁发出通知. 组织应就事件进行与媒体互动的培训课程. 此外,OMB M-07-16要求联邦机构在处理违规通知的计划中包括以下要素:<br /></p>
<ul>
<li>是否需要违规通知53</li>
<li>通知的及时性</li>
<li>通知来源</li>
<li>通知的内容</li>
<li>提供通知的手段</li>
<li>收到通知的人;公共推广回应.</li>
</ul>
<p>此外,组织应建立负责使用违规通知政策协调组织的响应的委员会或人员.<br />组织还应确定哪些情况需要组织为受影响的个人提供补救援助,例如信用监控服务. PII机密性影响水平应考虑到该决定,因为它对PII的每种实例的保密性丧失造成了损害的可能性分析.<br /></p>
<h3>5.2检测和分析</h3>
<p>组织可能会继续使用其当前的检测和分析技术和技术来处理涉及PII的事件. 但是,可能需要调整事件处理过程,例如确保分析过程包括对事件是否涉及PII的评估.</p>
<p>检测和分析应侧重于已知和怀疑的PII违反. 如果检测到涉嫌违反PII的可能性,联邦机构应在一小时内通知美国立方间.<br /></p>
<h3>5.3遏制,消除和恢复</h3>
<p>现有的技术和遏制,根除和恢复技术可用于涉及PII的违规行为. 但是,可能需要更改事件处理过程,例如在恢复过程中需要从媒体中删除PII时执行其他媒体消毒步骤. 应特别注意使用适当的取证技术54,以确保保存有意的犯罪行为的证据. 此外,重要的是要确定是否访问PII以及有多少记录或个人受到影响.<br /></p>
<h3>5.4个事后活动</h3>
<p>与其他安全事件一样,应收集通过检测,分析,遏制和恢复学习的信息,以在组织内部以及与美国核心中的共享,以帮助防止未来的事件. PII违规响应计划应根据每次事件中所学的经验教训不断更新和改进.<br />此外,组织应使用其PII违规响应政策来确定组织是否应为受影响的个人提供补救援助,例如信用监控. 在向个人提供通知时,组织应使受影响的个人意识到自己的选择,例如获得其信用报告的免费副本,获得冻结信用报告,在其信用报告中签发欺诈警报或与他们的金融机构联系.<br /></p>
<h2>附录A- PII识别和处理的方案</h2>
<p>涉及组织内PII场景的练习提供了一种廉价有效的方法来建立必要的技能,以确定组织如何识别和保护PII的潜在问题. 参加这些练习的个人有一个简短的PII场景以及与该方案有关的一般和特定问题的列表. 阅读了场景后,小组随后讨论了每个问题,并确定了对组织的最合适的回答. 目的是确定参与者将真正做什么,并将其与政策,程序以及通常建议的做法进行比较,以确定任何差异或缺陷,并决定适当的缓解技术.</p>
<p>下面列出的一般问题几乎适用于任何PII场景. 在一般问题是场景之后,每个方案都遵循其他方案特定问题. 鼓励组织适应这些问题和方案,以便在自己的PII练习中使用. 此外,还可以从NIST SP 800-61修订版1,计算机安全事件处理指南获得其他方案和特定于PII事件处理的问题. 55 <br /></p>
<h3>A.1个一般问题</h3>
<p>1. 采取了哪些措施来识别,评估和保护场景中描述的PII?<br />2. 哪些人在组织内指定责任以维护场景中描述的PII?<br />3. 组织内的人和团体应提出有关PII或可能滥用PII的问题?<br />4. 如果场景中描述的PII无法正确保护,可能会发生什么?<br /></p>
<h3>A.2个方案</h3>
<h4>方案1:系统升级</h4>
<p>组织正在重新设计和升级其物理访问控制系统,该系统由识别ID徽章的入门控制台以及身份管理系统和其他组件组成. 作为重新设计的一部分,将几个单独的物理访问控制系统整合到一个单个系统中,该系统是分类并识别生物识别模板数据(面部图像和指纹),员工名称,员工识别号(组织使用的内部识别号)和员工SSN. 新系统还将包含“身份”文档的扫描副本,包括出生证明,驾驶执照和/或护照. 此外,该系统将保持所有访问权限(授权或未经授权)尝试的日志. 该日志包含每个访问尝试的员工识别号和时间戳.<br /></p>
<ol>
<li>系统中的哪些信息是PII?</li>
<li>PII机密影响水平是多少? 做出此决定时,考虑了什么因素?</li>
<li>通过将数据合并到单个系统中,是否会产生其他漏洞,可能会对个人造成伤害? 可以进行哪些其他控件来减轻风险?</li>
<li>是系统功能所需的所有信息? 有没有办法最大程度地减少系统中的信息? 可以用不是PII的操作数据代替系统上的PII?</li>
<li>是为该系统开展PIA所需的组织?</li>
</ol>
<h4>方案2:保护调查数据</h4>
<p>最近,一个通过电子邮件发送给个人的组织链接指向在线调查,该链接旨在收集有关组织服务的反馈. 该组织通过名称,电子邮件地址和组织分配的ID编号确定每个人. 大多数调查问题要求个人表达对组织的满意或不满意,但也有一些问题要求个人提供其邮政编码,以及有关其年龄,收入水平,教育背景和婚姻状况的人口统计细节.<br />以下是此情况的其他问题:<br /></p>
<ol>
<li>通过此调查收集的哪些数据要素应视为PII?</li>
<li>PII机密影响水平是多少? 做出此决定时,考虑了什么因素?</li>
<li>如何确定调查中哪些数据与组织的运营相关? 被认为是不必要的数据发生了什么?</li>
<li>哪些特定特定的隐私保护措施可能有助于维护此调查中收集和保留的PII?</li>
<li>可以使用哪些其他类型的保护数据(不一定特定于保护PII)来保护数据免受响应的保护?</li>
</ol>
<h4>方案3:在家完成工作</h4>
<p>一个组织的员工需要提早离开医生的约会,但是该员工当天没有完成工作,没有休假时间. 由于她在家中有相同的电子表格申请,因此她决定通过电子邮件将数据提取作为其个人电子邮件地址的附件,并在当晚在家里完成工作. 数据提取是从访问控制的人力资源数据库中下载的,该数据库位于组织的安全周围内的服务器上. 摘录包含员工姓名,标识号,出生日期,薪水信息,经理的姓名,地址,电话号码和职位. 当她离开时,她记得自己的钱包里有自己的USB闪存驱动器. 她认为,如果她在已经发送的电子邮件中遇到附件问题,则使用USB驱动器会很好地使用. 尽管她当天早些时候与她与同事分享的家庭照片占用了很多USB驱动器的空间,但仍然有足够的空间添加数据提取物. 她复制了数据提取物并将其放在钱包中. 当她那天晚上回到家时,她将USB驱动器插入家人的计算机,并使用电子表格应用程序分析数据.</p>
<p>以下是此情况的其他问题:<br /></p>
<ol>
<li>该数据提取中包含的哪些数据元素应视为PII?</li>
<li>PII机密影响水平是多少? 做出此决定时,考虑了什么因素?</li>
<li>哪些特定特定的隐私保护措施可能有助于保护数据提取物中包含的PII?</li>
<li>如果员工的钱包(包含USB驱动器)被盗,该怎么办? 组织应该做什么? 雇主如何阻止这种情况?</li>
<li>员工完成工作后应该如何处理提取物的副本?</li>
<li>应将摘录的电子邮件发送给个人电子邮件地址是否违反? 是否应该将数据存储在个人USB驱动器上?</li>
<li>组织可以采取什么措施来减少未来类似事件的可能性?</li>
<li>如果信息是去确定的退休收入统计清单,则应如何处理此情况? 以前的问题会以不同的回答吗?</li>
</ol>
<h4>方案4:测试系统</h4>
<p>一个组织需要测试升级到其指纹匹配系统之前,才可以将升级引入生产环境. 因为很难模拟指纹图像和模板数据,所以组织使用了真实的生物特征图和模板数据来测试系统. 除了指纹图像和模板外,该系统还处理了与每个指纹图像相关的人口统计数据,包括名称,年龄,性别,种族,种族,出生日期和国籍. 成功完成测试后,该组织升级了其生产系统.<br /></p>
<ol>
<li>该系统测试中包含哪些数据元素应视为PII?</li>
<li>PII机密影响水平是多少? 做出此决定时,考虑了什么因素?</li>
<li>哪些特定特定的隐私保护措施可能有助于保护此测试中使用的PII?</li>
<li>是进行此测试所需的PIA? 是完成生产系统升级所需的PIA?</li>
<li>组织完成升级后用于测试的数据应该如何处理?</li>
</ol>
<h2>附录B-常见问题(FAQ)</h2>
<p>隐私和安全领导和员工以及组织中的其他人员可能会对识别,处理和保护个人身份信息的机密性(PII)有疑问. 该附录包含与PII相关的常见问题(FAQ). 鼓励组织自定义此常见问题解答并将其提供给其用户社区.<br /></p>
<h3>1. 什么是个人身份信息(PII)?</h3>
<p>PII在OMB备忘录M-07-16中定义为“可用于区分或跟踪个人身份的信息,例如其名称,社会保险号,生物识别记录等. 单独,或与其他个人或识别信息相结合的信息,这些信息与特定个人链接或链接时,例如出生日期和地点,母亲的少女名称等.透明<br /></p>
<h3>2. 这如何适用于外国国民?</h3>
<p>OMB定义了个人术语,如PII的定义所用,是指美国公民或合法居住的外星人,该居民基于《隐私法》的定义. 56为了保护PII的机密性,组织可以选择在不创造新的合法权利的情况下行政上扩大对外国国民的申请范围. 扩大范围可以减轻管理负担,并通过消除维护单独系统或其他单独数据的需求来减轻保护数据的运行效率. 此外,公民,外国人或法律永久居民的地位可能会随着时间而改变,这使得难以准确识别和分开外国国民的数据. 扩大范围还可以提供更多的组织利益,例如与其他组织提供互惠.<br />机构也可能与个人实践一致,选择将《隐私法》的保护扩展到外国国民而不创造新的司法可执行的合法权利. 例如,DHS选择扩展隐私法保护(e.G., 访问,更正),数据驻留在混合系统中的外国国民,这些系统是记录系统,并提供有关u的信息.s. 人和非u.s. 人. 57 <br />组织还应咨询法律顾问,以确定他们是否有额外的义务来保护与外国国民有关的个人信息的机密性,例如《移民和国籍法》,该法需要保护签证申请人数据的机密性. 58 <br /></p>
<h3>3. “区分”一个人意味着什么?</h3>
<p>区分个人是要确定一个人. 一些可以区分个人的信息的示例.<br /></p>
<h3>4. 记录“链接”是什么意思?</h3>
<p>当记录包含单独考虑时无法区分个体的信息时,记录与个人相关,但与同一系统上存在的其他数据元素或密切相关的系统时可以区分个体. 例如,只能在一个数据库中通过ID#12345来识别个人,并且同一系统上的另一个数据库可以将ID#映射到个人的名称和社会安全号码. 如果用户可能可以访问两个数据库,或者可以以最小的努力获得访问权限,则第一个数据库中的记录将被视为“链接”.<br /></p>
<h3>5. 记录“可连接”是什么意思?</h3>
<p>当记录包含无法区分个人的信息时,记录可以与个人链接,但可以将其与其他数据元素与可用于公众可用的源相匹配或将其进行比较,或者以其他方式获得. 例如,可以通过家庭电话号码在数据库中确定个人. 可以通过将这些信息与公开可用的电话目录进行比较来确定某些人的身份.<br /></p>
<h3>6. 是个人身份信息(PII)与可识别形式(IIF)的信息相同?</h3>
<p>不,pii和iif术语不一样. 它们的定义是不同的,不能互换使用,并且有不同的要求.<br />OMB在OMB备忘录中定义PII 07-16是“可用于区分或跟踪个人身份的信息,例如其姓名,社会保险号,生物识别记录等. 单独,或与其他个人或识别信息相结合的信息,这些信息与特定个人链接或链接时,例如出生日期和地点,母亲的少女名称等.透明<br />OMB在OMB备忘录中定义IIF 03-22是“ IT系统或在线集合中的信息:(i)直接标识个人的信息(e.G., 名称,地址,社会保险号或其他识别号码或代码,电话号码,电子邮件地址等.)或(ii)代理机构打算与其他数据元素结合识别特定个人的情况,我.e., 间接识别. (这些数据元素可能包括性别,种族,出生日期,地理指标和其他描述符的组合).” 59 <br />这些术语之间存在以下两个区别:<br /></p>
<ul>
<li>间接识别. 这些术语在如何解决间接识别问题上是不同的. 如果信息本身并未确定一个人,则必须“由代理机构打算”与其他数据结合确定个人以满足IIF的定义. PII的定义不能解决该机构的意图,并指出信息可以是PII,即使数据仅与个人“可链接”,无论代理机构是否打算实际链接它.</li>
<li>政策范围. IIF仅根据确定联邦机构必须完成隐私影响评估(PIA)的IT系统的定义。. PII广泛定义为包含以任何格式存储的个人信息,包括电子和纸质的.</li>
</ul>
<h3>7. 对保护PII的准则的需求是如何产生的? 为什么这很重要?</h3>
<p>PII的保护对于维持对组织的公众信任和信心很重要,以保护组织的声誉并保护组织的法律责任. 组织始终将信任,信心和声誉视为保护PII的激励因素. 最近,由于颁布许多联邦,州和国际隐私法,组织变得更加关注法律责任的风险.</p>
<p>在美国,联邦隐私法通常是基于部门的. 例如,1996年的《健康保险可移植性和问责制法》适用于卫生保健部门,《 1999年的Gramm-Leach-Bliley法》适用于金融服务部门. 相比之下,许多州制定了自己的普遍适用的隐私法,例如违规通知法律. 有些你.s.-在国外开展业务的基于国际隐私法也必须遵守国际隐私法,这些法律因各个国家而异. 组织负责根据部门和管辖权确定哪些法律适用于它们.</p>
<p>对于联邦政府机构,保护PII的需求首先是由1974年的《隐私法》建立的. 它要求联邦机构保护PII并将公平信息实践应用于PII. 此外,《隐私法》要求机构“建立适当的行政,技术和物理保障措施,以确保记录的安全性和机密性,并防止对其安全或正直的任何预期威胁或危害,这可能会导致重大伤害,尴尬,不便,不便,或对维护信息的任何个人不公平.透明</p>
<p>为了响应计算机和互联网处理政府信息的增加,颁布了2002年的《电子政务法》,以确保公众对电子政府服务的信任. 它要求联邦机构进行隐私影响评估(PIA)并在其网站上维护隐私政策. 《电子政务法》还指示OMB向联邦机构颁发实施指南. 2003年,OMB发布了M-03-22,以提供有关PIA和网站隐私政策的指导. OMB继续向联邦机构提供有关许多PII保护主题的隐私指南,例如远程访问PII,在移动设备上对PII的加密以及违规通知(有关其他信息,请参见附录H).<br />此外,联邦机构必须遵守其他隐私法,例如《儿童在线隐私保护法》(COPPA)和HIPAA(仅当该机构充当医疗保健提供者或法规所定义的其他涵盖实体时).<br /></p>
<h3>8. 什么是《隐私法》?</h3>
<p>1974年《隐私法》是公共部门隐私法的基础.s. 它仅适用于联邦机构,并为要求使用公平信息实践提供法定基础. 《隐私法》仅与记录系统(SOR)系统中维护的数据有关,这意味着“任何记录的任何记录组的任何组的组合。或其他分配给个人的特定识别.” 60记录的定义大致定义为包括有关个人的任何信息,包括纸张和电子.<br />《隐私法》的基本规定包括以下内容:<br /></p>
<ul>
<li>向说明的个人提供通知:61 <ul>
<li>数据收集的权限</li>
<li>数据收集的目的</li>
<li>数据的常规用途</li>
<li>效果(如果有的话)不提供信息</li>
</ul>
<p>违反《隐私法》可能会导致民事和刑事责任.</p>
<p>隐私法案系统中包含的信息通常将被视为pii. 试图保护系统的组织(e.G., 通过安全控制)包含PII可能能够通过协调遵守《隐私法》的努力来实现效率,因为这些活动通常会相似.<br /></p>
<h3>9. 什么是隐私影响评估(PIA)? 我什么时候需要进行pia?</h3>
<p>2002年的《电子政务法》要求联邦机构进行PIAS,这是识别和减轻信息系统中隐私风险的过程. 如果有效使用,PIA应在系统开发生命周期(SDLC)的每个阶段解决风险. 大多数组织已经建立了自己的模板,为进行PIA提供了基础. 2002年的《电子政务法》要求联邦机构进行PIAS:<br /></p>
<ul>
<li>开发或采购信息技术,以收集,维护或传播以可识别形式的信息;或者</li>
<li>启动新的信息集合 – <ul>
<li>将使用信息技术收集,维护或传播;和</li>
<li>在可识别形式的形式中包括任何信息,允许对特定个人进行物理或在线联系,如果提出了相同的问题,或者提出了相同的报告要求,则在联邦政府的机构,工具或雇员之外提出了10个或更多人,.</li>
</ul>
<p>《电子政务法》授权OMB向联邦机构提供有关PIAS的指导,这导致了OMB备忘录03-22. 该备忘录提供了系统更改的示例,这些更改造成了新的隐私风险,并触发了新PIA的要求:<br /></p>
<ul>
<li>转换 – 将基于纸张的记录转换为电子系统时</li>
<li>被识别为可识别 – 当功能应用于现有信息收集时,以可识别形式将识别信息更改为信息</li>
<li>重大的系统管理更改 – 当现有IT系统的新用途(包括新技术的应用)时,可以显着改变系统中可识别形式的信息</li>
<li>重大合并 – 当代理商通过或更改业务流程时,以可识别形式持有信息的政府数据库被合并,集中,与其他数据库匹配,或者有明显的操纵</li>
<li>新的公共访问 – 用户对技术的技术(e).G., 密码,数字证书,生物特征)新应用于公众访问的电子信息系统</li>
<li>商业资料来源 – 当代理机构系统地将来自商业或公共资源购买或获得的可识别形式的信息系统数据库纳入现有信息系统数据库</li>
<li>新机构间用途 – 当代理商在涉及可识别形式的重要新用途或信息交换的共享功能上共同工作时,例如交叉削减电子政务计划</li>
<li>内部流或收集 – 当业务流程的更改导致信息的重要新用途或披露或集成到其他可识别形式的其他信息的系统中</li>
<li>数据特征的改变 – 当以可识别形式添加新信息时,将其添加到集合中的风险(例如,增加健康或财务信息)</li>
</ul><ul>
<li>要收集什么信息</li>
<li>为什么收集信息</li>
<li>信息的预期用途</li>
<li>与谁共享信息</li>
<li>个人必须拒绝提供信息的机会(我.e., 提供信息是自愿的)或同意信息的特定用途(除所需或授权用途以外),以及个人如何授予同意</li>
<li>信息将如何保护</li>
<li>是否根据《隐私法》(5 U)创建了记录系统.s.C. 552a</li>
<li>该机构对IT系统或由于执行PIA而做出的信息的选择.</li>
</ul>
<h3>10. 什么是《减少文书工作法》?</h3>
<p>《减少文书工作法》(PRA)63于1995年通过,并创建了一个从公众那里审查和批准联邦政府信息收集的过程. 该法案的目的是最大程度地减少公众的文书工作负担,最大程度地减少信息收集成本,并提高联邦信息的质量. 64当机构计划使用相同的报告,记录保存或披露要求从十个或更多人那里收集信息时,PRA要求联邦机构从OMB获得许可. 该术语的定义为包括人员,组织,地方政府等., 但它不包括联邦机构或联邦机构的雇员. 在将信息收集提交给OMB之前. OMB审查提议的信息收集并将控制号码分配给该集合,必须在收集表上显示. 任何包括PII在内的信息收集需要的PIA都需要PIA,并且需要根据PRA的OMB许可.<br /></p>
<h3>11. 如果PII被滥用,对个人和组织的一般风险是什么?</h3>
<p>根据丢失的信息类型,个人可能遭受社会,经济或身体伤害. 如果丢失的信息足以被身份小偷利用,则该人可能会因损失金钱,信贷损害,妥协,威胁和/或骚扰而受苦。. 个人可能会遭受巨大的时间和金钱来解决损失. 个人可能造成的其他类型的伤害包括拒绝政府福利,勒索,歧视和身体伤害.</p>
<p>组织还面临其财务和声誉的风险. 如果PII被滥用,组织可能会在补偿个人,协助他们监控其信用评级并解决行政问题时遭受财务损失. 此外,在关键人员在协调和执行适当答复方面所花费的时间方面,从重大违规中恢复的费用是昂贵的. 如果损失PII构成违反相关法律,则该组织和/或其工作人员可能会受到刑事或民事处罚,或者可能必须同意接受仔细的政府审查和监督. 组织的另一个主要风险是,他们的公众声誉和公众信心可能会丧失,可能危害组织实现其任务的能力.<br /></p>
<h3>12. 在审查收集PII的限制时,我应该考虑什么?</h3>
<p>审查的主要考虑因素是可能影响PII收集的任何法律要求. 应该询问考虑到收集的PII类型的组织,法律,法规和指导适用(e).G., PII将军的隐私法,减少文书工作法和《电子政务法》; HIPAA健康PII; Financial Pii的Gramm-Leach-Bliley法案(GLBA);儿童pii的coppa). 应始终咨询组织的法律顾问和隐私官员,以确定是否有收集PII的限制.<br /></p>
<p>可以更具体地询问收集的PII是否是开展业务的绝对必要的(我.e., 它是否支持系统的业务目的或组织的使命?)如果它没有可行的商业目的,那么联邦机构可能不会收集PII. 如果PII的收集确实有业务目的,则应适当地收集,使用,共享和分发.<br /></p>
<h3>13. PII的例子是什么?</h3>
<p>以下示例旨在提供可以单独或集体视为PII的信息类型的横截面,并且并不是所有可能性的详尽列表. PII记录的示例包括金融交易,病史,犯罪历史和就业历史. PII的个别数据元素的示例包括个人名称,社会安全号码,护照号码,驾驶执照号码,信用卡号,车辆注册或ID号,X射线,患者ID号以及生物识别图像和模板数据(E.G., 视网膜扫描,语音签名,面部几何形状). 65 <br /></p>
<h3>14. 与任何其他数据相比,保护PII有什么不同,以及应该如何保护PII?</h3>
<p>在许多情况下,PII的保护类似于保护其他数据,包括保护信息的机密性,完整性和可用性. 大多数用于其他类型数据的安全控制也适用于PII的保护. 此外,还有几种特定于隐私的保护措施,例如匿名,PII收集最小化和去识别.</p>
<p>除了对PII的保护要求外,还有其他要求处理PII. 公平信息实践提供了这些要求的概述,其中包括但不限于通知,同意,访问,更正,完整性和执行. 此外,将机密性影响水平分配给PII的因素与其他类型的数据不同. 违反PII的机密性损害了组织和个人. 由于潜在伤害的严重性,例如身份盗用,尴尬和否认利益,应强烈考虑对个人的伤害.</p>
<p>1政府问责办公室(GAO)报告08-343,保护个人身份信息,2008年1月,http:// www.高.政府/新.项目/D08343.PDF</p>
<p>2《纽约时报》,1989年3月5日引用的国会证词. McGeorge Bundy是U.s. 肯尼迪和约翰逊总统国家安全顾问(1961-1966). http://查询.纽约时报.COM/GST/FULLPAGE.html?RES = 950DE2D6123AF936A35750C0A96F948260</p>
<p>3出于本文档的目的,机密性定义为“保留有关信息访问和披露的授权限制,包括保护个人隐私和专有信息的手段.” 44 u.s.C. §3542. http:// uscode.房子.gov/download/pls/44c35.TXT.</p>
<p>4出于本出版物的目的,两者都被称为“组织”.</p>
<p>5 OMB备忘录07-16,保护并回应违反个人身份信息的行为,http:// www.白色的房子.Gov/OMB/MEMORANDA/FY2007/M07-16.PDF</p>
<p>6人口普查局有特殊义务根据U的标题13的规定进行保护.s. 代码,IRS有特殊义务根据U的标题26进行保护.s. 代码. 保护PII还有更多特定于代理机构的义务,应咨询组织的法律顾问和隐私官. <br /></p>
<p>7本文档提供了一些来自NIST SP 800-53的选定安全控制示例.</p>
<p>8应根据国家档案与记录管理局(NARA)批准的保留时间表进行PII处置. <br /></p>
<p>9 OMB M-07-16要求机构制定和实施违规通知政策.</p>
<p>10一些组织的结构不同,角色的名称不同. 这些角色是例子,用于说明目的. <br /></p>
<p>11即使组织确定信息不是PII,组织仍应考虑信息是否敏感或具有与之相关的组织或个人风险,并确定适当的保护.</p>
<p>12 OMB备忘录M-07-16,保护并响应违反个人身份信息的行为,http:// www.白色的房子.Gov/OMB/MEMORANDA/FY2007/M07-16.PDF.</p>
<p>13整个文档中,术语“个人”和“个人身份”都可以互换使用. 有关该术语术语的更多信息,请参见附录B.</p>
<p>14例如PTA/IPA模板,请参见:http:// www.USDOJ.政府/opcl/初始私人物评估.PDF或http:// www.国防部.mil/pubs/foi/私密/dhs_pta_template.PDF. <br /></p>
<p>15如第3节所述,这些示例带来的风险和每个示例所需的适当保护在情况下有所不同.</p>
<p>16个部分标识符,例如前几位数字或SSN的最后几位数字,也经常被视为PII,因为它们仍然几乎是唯一的标识符,并且可以链接或与特定个体链接或链接.</p>
<p>17本文档着重于保护PII的机密性. 保护PII的隐私是一个更广泛的主题,并且提供了有关公平信息实践的信息,以提高读者意识. <br /></p>
<p>18参见:http:// www.ftc.Gov/Reports/privacy3/Fairinfo.SHTM. <br /></p>
<p>19 44 u.s.C. §3542,http:// uscode.房子.gov/download/pls/44c35.TXT</p>
<p>22本文档仅与机密性影响有关,并且不解决完整性或可用性. <br /></p>
<p>23第4节.2讨论组织如何通过从记录中删除PII来减少保护PII的需求.</p>
<p>24请参阅指南.s. 人口普查局数据管理/隐私影响评估(DS/PIAS),http:// www.人口普查.gov/po/pia/gude_to_pias.Doc</p>
<p>25有关其他资源,请参见附录H.</p>
<p>26个人信息以不同的法律,法规和其他授权以不同的方式定义. 这些定义中的许多都不可互换. 因此,重要的是使用每个特定定义来确定是否存在每种类型的个人信息的义务. 有关个人信息的常见定义列表,请参见附录C.</p>
<p>27人口普查局有特殊义务根据U的标题13的规定进行保护.s. 代码,IRS有特殊义务根据U的标题26进行保护.s. 代码. 保护PII还有更多特定于代理机构的义务,应咨询组织的法律顾问和隐私官.</p>
<p>28有关其他信息,请参见GLBA,15 U.s.C. §6801et seq.</p>
<p>29 CIPSEA是2002年《电子政务法》的标题5,酒吧.l. 107-347,116 Stat. 2899,44 u.s.C. §101et seq. CIPSEA涵盖了用于统计目的的所有类型的数据,而不仅仅是PII. 有关其他信息,请参见CIPSEA的OMB实施指南,http:// www.白色的房子.gov/omb/fedReg/2007/061507_cipsea_guidance.PDF.</p>
<p>30有法律和OMB指导为政策制定提供代理要求. 例如,OMB备忘录05-08要求“高级机构官员必须……在该机构对立法,监管和其他政策提案的制定和评估中扮演中心决策角色,这暗示了信息隐私问题……”此外,《隐私法》也要求机构“为参与设计,开发,操作或维护任何记录系统或维护任何记录的人建立行为规则,并指导每个此类人就此类规则和……的要求指导……” “隐私法”“包括采用的任何其他规则和程序……以及违规的罚款.透明 <br /></p>
<p>31参见NIST SP 800-47,《互连信息技术系统安全指南》,http:// csrc.nist.Gov/Publications/pubssps.html</p>
<p>本节的32部分被提交为ISO/IEC 29100隐私草案标准框架的贡献. <br /></p>
<p>33公平信息实践也称为隐私原则. 有关其他信息,请参见附录D. <br /></p>
<p>34审查的频率应根据适用于PII收集的法律,法规,授权和组织政策进行. <br /></p>
<p>35《隐私法》要求联邦机构仅维护其任务相关和必要的记录. 此外,OMB指示联邦机构每年审查其PII持有量,并将其持有量减少到适当执行其任务所需的最低限度. OMB备忘录M-07-16,保护并应对违反个人身份信息的行为,http:// www.白色的房子.Gov/OMB/MEMORANDA/FY2007/M07-16.PDF <br /></p>
<p>36《联邦记录法》,44 U.s.C. §3301,将记录定义为“ [a]书籍,论文,地图,照片,机器可读材料或其他纪录片材料,无论物理形式或特征如何,美国政府根据联邦法律制造或收到的或与该机构或其合法继任者保留或适合保存或适当保存或适当的交易,作为组织,职能,政策,决策,程序,行动或政府的其他活动的证据,或者是因为信息价值其中的数据.“需要机构来创建和维护其组织,使命,职能等的“足够和适当的文件”., 未经美国档案管理员的批准,可能不会处置记录. 通过一般记录时间表(GRS)和代理特定记录时间表授予此批准.</p>
<p>37出于分析目的,本文档中使用的去识别信息的定义是基于HIPAA隐私规则中定义的去识别数据的标准而宽松的,并且已将其推广到所有PII. 此定义与HIPAA定义有所不同,因为它应用于所有PII,并且不具体删除HIPAA隐私规则所描述的所有18个数据元素. HIPAA隐私规则识别出两种取消识别数据的方法,因此不再被认为是受保护的健康信息(PHI). 首先,可以删除18个特定字段,例如名称,SSN和电话号码. 其次,数据的匿名性可以在统计上证明. 45CFR§164.514,http:// www.HHS.gov/ocr/hipaa/finalreg.html</p>
<p>38 Merriam Webster字典在线,http:// www.Merriam-Webster.com/词典/匿名.<br /></p>
<p>39基于管理研究机密性要求的共同规则,45 CFR 46.<br /></p>
<p>40匿名化和去识别都应由接受适当培训的人进行. 与统计学家咨询以评估可能的意外重新确定和不当披露的披露水平可能会有所帮助. 有关统计披露限制技术的更多信息,请参见OMB的统计政策工作文件#22,http:// www.FCSM.政府/工作纸/SPWP22.html. 另请参见人口普查局,关于机密和隐私报告1790-2002,http:// www.人口普查.gov/prod/2003pubs/conmono2.PDF.<br /></p>
<p>41联邦统计方法委员会提供了一个清单,以协助评估重新确认和不当披露的风险. 有关其他信息,请参阅联邦统计方法,机密性和数据访问委员会关于数据发行潜能的清单,http:// www.FCSM.政府/委员会/CDAC/.<br /></p>
<p>42在匿名数据中保留有用属性取决于应用的统计披露限制技术.<br /></p>
<p>43代理商通常也使用匿名化将数据集发布给公众出于研究目的.</p>
<p>44例如,假设组织拥有一个数据库,其中包含数千个有关员工福利的记录. 该组织不能允许用户完全直接访问数据库,该数据库可以将数据库记录的提取物保存到用户的计算机,可移动媒体或其他位置,而是允许用户仅访问必要的内容记录和记录字段. 用户可能仅限于仅访问一般人口统计信息,而不得访问与员工身份有关的任何信息. 附录E中提供了有关限制PII数据库提取物的更多信息。.<br /></p>
<p>45额外的加密指南和参考可以在FIPS 140-2中找到:密码模块的安全要求,http:// csrc.nist.Gov/Publications/pubsfips.html.</p>
<p>46 NIST SP 800-63,电子身份验证指南,提供有关身份验证的更多信息.<br /></p>
<p>47有关媒体卫生的更多信息,请参见NIST SP 800-88,《媒体卫生指南》.<br /></p>
<p>48 NIST有几本关于此主题的出版物,可从http:// csrc获得.nist.Gov/Publications/pubssps.html.</p>
<p>49根据Ponemon Institute进行的2007年政府隐私信托调查调查,联邦部门从2006年成为最受信任的五个最受信任的机构,在2006年高度宣传的数百万PII唱片之后,在最低五个最不信任的机构之上. http:// www.govexec.com/dailyfed/0207/022007TDPM1.htm<br /></p>
<p>50 u.s. 商务部,违规通知响应计划,2007年9月28日</p>
<p>51在M-07-16中,OMB要求联邦机构在一小时内向US-CERT报告所有已知或怀疑的PII违规.<br /></p>
<p>52有关与媒体等与外部各方的通信的更多信息,请参见NIST SP 800-61修订版1,计算机安全事件处理指南,http:// csrc.nist.Gov/Publications/pubssps.html.<br /></p>
<p>53对于联邦机构,始终需要通知美国通知.</p>
<p>54有关其他信息,请参见NIST SP 800-86,《将法医技术集成到事件响应的指南》,http:// csrc.nist.gov/publications/nistpubs/800-86/sp800-86.PDF.<br /></p>
<p>55 SP 800-61修订1可在http:// csrc上获得.nist.Gov/Publications/pubssps.html.</p>
<p>56 OMB M-03-22,OMB执行2002年电子政务法的隐私规定的指南,http:// www.白色的房子.Gov/OMB/Memoranda/M03-22.HTML#1.<br /></p>
<p>57请参阅有关收集,使用保留和传播NON-U的DHS隐私政策.s. 人,<br />http:// www.DHS.gov/xlibrary/Assets/privacy/privacy_policyguide_2007-1.PDF.<br /></p>
<p>58移民与国籍法,8 U.s.C. 1202.</p>
<p>59 OMB M-03-22,OMB执行2002年电子政务法的隐私规定的指南</p>
<p>60 5 u.s.C. §552a(a)(5).</p>
<p>61《隐私法》还要求在联邦公报中发布一般通知,该公告称为记录通知系统(SORN).</p>
<p>62如果PIA的出版将引起国家安全问题或揭示机密或敏感的信息,则代理机构可以免于这一要求.</p>
<p>63 PRA,44 U.s.C. §3501et seq.<br /></p>
<p>64有关其他信息,请参见:http:// ocio.操作系统.Doc.gov/itpolicyandprograms/inovery_collection/dev01_003742.</p>
<p>65个组织可能想考虑应如何处理与已故个人有关的PII,例如继续保护其机密性或正确销毁信息. 组织可能希望将其考虑基于保护,组织政策或通过评估组织特定风险因素的任何义务. 关于特定组织的风险因素,存在平衡行为,因为与已故个人有关的PII既可以促进并防止身份盗用. 例如,列出已故个人的清单可以防止某些类型的欺诈行为,例如选民欺诈. 相比之下,已故个人的PII也可用于开设信用卡帐户或为罪犯建立虚假掩护. 组织应咨询其法律顾问和隐私官.</p>
<h2>什么是个人身份信息? 定义 +示例</h2>
<p><img src=”https://assets-global.website-files.com/5efc3ccdb72aaa7480ec8179/606fdaec7ebf222c030d180c_abi-tyas-tunggal.jpeg” alt=”Abi Tyas Tunggal” /></p>
<p>个人身份信息(PII)是任何可用于识别特定个人的数据. 示例包括驾驶执照号码,社会安全号码,地址,全名等.</p>
<p>PII不仅包括指向一个人身份的明显链接,例如驾驶执照. 数据片段与其他数据集结合在一起,揭示个人的身份也可以分类为PII. 甚至可以在匿名技术中使用的数据也可以视为PII.</p>
<p>通过了解需要PII分类的条件,您的组织将了解如何正确存储,处理和管理PII数据.</p>
<p>如果您不知道如何识别,您将无法保护PII. 在本文中,我们介绍了PII的广泛定义,并概述了一个框架,以帮助您轻松区分IT生态系统中的PII.</p>
<h2>敏感的PII和非敏感PII有什么区别?</h2>
<p>敏感的PII包括任何包括您的全名,地址或财务信息的数据集. 非敏感的PII是可从公共资源(例如社交媒体配置文件)访问的任何通用数据,无法用于识别特定个人. 例如邮政编码或出生日期.</p>
<p>非敏感数据位于灰色区域. 虽然它足够通用,可以应用于广泛的人群,但可以与其他数据集一起使用以揭示个人的身份 – 就像有助于发展形象的多个拼图作品.</p>
<p>因为非敏感的数据仍然可以为识别个人的更广泛的努力做出贡献,因此与敏感PII相同的安全性保护这些数据只会进一步距离您与潜在的数据隐私法违规行为的距离.</p>
<h3>敏感PII的示例</h3>
<p>敏感的PII包括但不限于以下唯一标识符:</p>
<ul>
<li><strong>姓名</strong> – 全名,少女名称,母亲的娘家姓或别名.</li>
<li><strong>地址信息</strong> – 街道地址,工作地址或电子邮件地址.</li>
<li><strong>个人身份证号码:</strong> 社会保险号(SSN),护照号码,驾驶执照号码,纳税人标识号,财务帐号,银行帐号或信用卡号码.</li>
<li><strong>IP地址</strong> – 一些司法管辖区甚至将IP地址分类为PII.</li>
<li>病历.</li>
<li>财务信息.</li>
<li>医疗保健信息.</li>
</ul>
<h3>非敏感PII的示例</h3>
<p>非敏感PII是任何可能链接到个人的信息. 示例包括:</p>
<ul>
<li>种族</li>
<li>性别</li>
<li>出生地</li>
<li>出生日期</li>
<li>宗教信仰</li>
<li>邮政编码</li>
<li>手机号码</li>
<li>公共登记册上的电话号码.</li>
</ul>
<h2>如何分类个人身份信息(PII)</h2>
<p>像任何形式的数据一样,并非所有PII都是平等的. PII应通过确定其PII机密影响水平来评估PII.</p>
<p>PII机密性影响水平的范围从低,中或高的范围表明,如果数据受到损害,可能会导致个人或组织的潜在危害.</p>
<p>每个组织都需要确定将使用哪些因素来确定影响水平,然后创建和操作适当的政策,程序和控制. 也就是说,有六个一般因素:</p>
<ol>
<li><strong>可识别性:</strong> PII可容易地识别特定个人?</li>
<li><strong>PII的数量:</strong> 在数据泄露中会暴露多少人?</li>
<li><strong>数据场灵敏度:</strong> 每个单独的PII数据元素如何敏感?</li>
<li><strong>使用上下文:</strong> 如何收集,存储,使用,处理,披露或传播PII?</li>
<li><strong>保护机密性的义务:</strong> 您的组织是否有任何法律或监管义务来保护PII? 义务包括法律,法规或其他授权,例如《隐私法》,《通用数据保护法规》(GDPR),健康保险可移植性和问责制法(HIPAA)和OMB指南</li>
<li><strong>访问PII的位置:</strong> 谁可以访问PII,他们可以从哪里访问?</li>
</ol>
<p>此分类框架还将告知您整体风险食欲的定义.</p>
<p>PII可以进一步分为两个分类层-PII和敏感PII.</p>
<p><img src=”https://assets-global.website-files.com/5efc3ccdb72aaa7480ec8179/63fc2d9e77ec4b5d11db3392_PII.png” alt=”Venn图比较了PII和敏感信息以及敏感PII的重叠” /></p>
<h2>谁负责保护个人身份信息(PII)?</h2>
<p>在大多数司法管辖区中,PII必须受到其他安全要求的保护,许多行业都有数据隐私法或合规性要求.</p>
<p>从法律的角度来看,保护PII的责任可能从没有责任到组织的唯一责任. 通常,责任与持有PII的组织和数据的个人所有者分享.</p>
<p>也就是说,虽然您可能对法律负责. 大多数消费者认为保护他们的个人数据是您的责任. 这意味着即使您的组织不承担法律责任,您也可能遭受声誉损失. 鉴于此,保护PII是通常接受的最佳实践.</p>
<p>涉及个人身份信息(PII)的数据泄露事件的发生不断增加,导致了数十亿美元的股东损失,数百万美元的监管罚款以及对个人敏感数据被暴露的个人盗窃的风险增加. 数据泄露对个人和组织是危险的:</p>
<ul>
<li><strong>个人伤害:</strong> 身份盗窃,尴尬或勒索.</li>
<li><strong>组织危害:</strong> 损失公共信任,法律责任,降低企业价值,关闭业务或补救成本.</li>
</ul>
<p>为了保护PII的机密性,组织需要使用网络安全风险评估,第三方风险管理,供应商风险管理和信息风险管理. 如果我们以平等的热情来保护公共信息和敏感信息,我们将揭示更少的公共信息和更敏感的数据. 组织需要采用一种基于风险的方法来保护其及其客户的PII的机密,完整性和可访问性(CIA Triad).</p>
<h2>保护和保护PII的技巧</h2>
<p>当组织最大程度地减少对个人身份信息的使用,收集和保留时,涉及PII的数据泄露造成的伤害可能会减少.</p>
<p>您的组织必须将其对PII的请求最小化,仅对什么绝对必要. 它还应该定期查看其拥有的个人信息以及个人数据是否仍然相关和必要.</p>
<ul>
<li>查看PII的当前持有,并确保其准确,相关,及时和完整.</li>
<li>将PII持有量减少到操作所需的最低限度.</li>
<li>定期审查PII持有.</li>
<li>制定一个计划,以删除任何不必要的收集和使用PII.</li>
<li>使用vidizmo等工具中的文档,图像,音频或视频文件中的编辑PII.</li>
</ul>
<p>安全政策限制访问敏感数据的访问,例如特权的原则,也将降低其妥协的潜力.</p>
<h2>您需要平等保护所有数据吗?</h2>
<p>并非所有数据都应以相同的方式保护. 组织必须根据如何根据PII对PII的保密影响水平进行适当的保障措施来保护PII的机密性.</p>
<p>某些PII甚至不需要保护. 想象一下您的组织操作一个公共电话目录,该目录允许水管工共享他们的电话号码. 在这种情况下,PII(电话号码)无需保护,因为您的组织有权公开发布它.</p>
<p>但是,如果尚未允许共享信息的云解决方案,则所有提交的数据都将被归类为PII,即使目前在公共目录中显示了其中一些数据,也将被归类为PII.</p>
<p>对于敏感的PII,您确实需要保护,您应该使用操作,特定于隐私和网络安全控件,例如:</p>
<ul>
<li><strong>政策与程序:</strong> 制定全面的政策和程序来保护PII的机密性.</li>
<li><strong>训练:</strong> 通过要求所有员工接受适当的培训,在获得包含PII的信息技术之前,请降低未经授权访问,使用或披露PII的可能性.</li>
</ul>
<h2>哪些隐私法与个人身份信息有关(PII)?</h2>
<p>PII存在于大多数国家和地区的立法中:</p>
<ol>
<li><strong>美国:</strong> 国家标准技术研究所(NIST)保护个人身份信息的机密性指南将PII定义为机构维护的个人的任何信息,包括任何可用于区分或追踪个人身份的信息,例如名称,社会,社会安全号码,出生日期和地点,母亲的娘家姓或生物识别记录;以及与个人链接或链接的任何信息,包括受保护的健康信息,教育,财务和就业信息等其他信息.</li>
<li><strong>欧洲联盟:</strong> 指令95/46/EC将个人数据定义为可以识别一个人的信息,例如ID号或特定于物理,生理,心理,经济,文化或社会身份的因素.</li>
<li><strong>澳大利亚:</strong> 1988年《隐私法》规定了许多被称为信息隐私原则(IPP)的隐私权. 这些原则决定了澳大利亚政府和企业如何收集PII. 它还要求澳大利亚人有权知道为什么要收集有关它们的信息,谁会看到信息.</li>
<li><strong>新西兰:</strong> 《隐私法》控制组织如何收集,使用,披露,存储和访问个人信息. 他们对PII的定义是有关可识别的,活着的人的信息.</li>
<li><strong>英国:</strong> 《 2018年数据保护法》是英国的一般数据保护法规(GDPR)的实施. 它决定PII必须公平,合法和透明地使用;出于指定的明确目的;以适当,相关且仅限于必要的方式的方式;准确且必要时,请保持最新状态;保持不超过必要的方式,并以确保适当安全的方式处理,包括防止非法或未经授权的处理,访问,损失,破坏或损害.</li>
<li><strong>加拿大:</strong> 《个人信息保护和电子文件法》(PIPEDA)确保组织必须获得个人同意以收集,使用或披露PII.</li>
</ol>
<h2>什么是常见的个人身份信息(PII)安全控制?</h2>
<ul>
<li><strong>配置管理:</strong> PII暴露的最常见方法之一是通过云存储平台(如Amazon的S3)的配置不佳,检查您的S3安全权限或其他人会导致数据泄漏.</li>
<li><strong>预防数据丢失</strong><strong>:</strong> 系统跟踪敏感的数据传输在您的组织中和外出,并确定可能暗示数据泄露的模式.</li>
<li><strong>数据掩盖:</strong> 数据存储和传输仅包含交易所需的详细信息,仅此而已.</li>
<li><strong>自动供应商问卷:</strong> 自动评估您的第三方供应商的安全性.</li>
<li><strong>数据泄漏检测:</strong> 连续监视网络以确保数据泄漏.</li>
<li><strong>凭证暴露检测:</strong> 连续监视网络以泄漏的凭据.</li>
<li><strong>道德墙:</strong> 实施筛选机制以限制与个人工作无关的PII访问.</li>
<li><strong>特权控制和监视:</strong> 监控特权的变化和过度,不适当或未使用的特权.</li>
<li><strong>PII访问监视:</strong> 监视对包含PII的文件和数据库的访问.</li>
<li><strong>审计试用档案:</strong> 确保安全地归档审核跟踪,以确保数据完整性不会受到损害.</li>
<li><strong>用户跟踪:</strong> 跟踪包含PII的信息系统中的用户活动.</li>
<li><strong>供应商访问监视:</strong> 监视承包商和第三方供应商访问PII并在不需要完成工作的情况下禁用其访问权限.</li>
<li><strong>网络安全评级:</strong> 衡量组织的网络安全评级以了解网络安全风险和整体安全姿势正在趋势.</li>
<li><strong>第三和第四方网络安全评级:</strong> 监视您的供应商及其供应商网络安全评级,以了解其整体安全姿势的趋势以及他们对潜在网络攻击的影响.</li>
<li><strong>打字保护:</strong> 您的客户的pii可以通过打字的网络犯罪分子来暴露您的PII,他们旨在通过错别字窃取您的流量.</li>
</ul>
<h3>用户用来保护个人身份信息(PII)</h3>
<p>向上守卫监视整个攻击面,以确保您的PII处于妥协的风险.</p>
<p>根据70多个关键攻击向量的特征.</p>
<p>UPGUARD可帮助您识别,解决和不断监视新兴的安全漏洞,使PII属于您和您的供应商安全.</p>
<p>获取对数据泄露风险的初步评估. <em>点击这里</em> 立即请求您的免费即时安全分数!<br /></p>
<h2>保护个人身份信息的6种方法(PII)</h2>
<img src=”/sites/haasfinancialgroup.us1.advisor.ws/files/styles/slider_s/public/images/conference_room_1.jpg?itok=HpdA55JP” />
<p>身份盗用非常真实. 而且我们的数字生活使被黑客入侵比以往任何时候都容易. 想想你的一周. 您发送了多少封电子邮件? 进行任何在线购买? 使用您的借记卡或信用卡? 将任何个人信息发布到您的社交媒体帐户? 考虑一下目标的复杂信息. 您是否曾经注意到某些网站现在可以根据您的最新搜索引擎主题放置广告?</p>
<p>我的意思是,我们的个人信息被妥协有多种方法,而这并不需要抢劫。. 实际上,无论您是否使用互联网,您的个人信息都在那里,您需要保护它.</p>
<p>因此,以下是建议的措施清单,以确保您保留个人身份信息(PII)安全.</p>
<ol>
<li>不要向PII发送电子邮件. 如果您必须以这种方式共享信息,请探索服务器加密电子邮件的方法,以确保已将其发送安全.</li>
<li>考虑使用PayPal之类的在线购买服务,而不是允许各种供应商访问您的信用卡或借记卡信息.</li>
<li>查看密码. 您是否一遍又一遍地使用相同的密码? 它是短而甜的,所以很容易记住? 您是否写下密码,然后将它们放在访问点旁边,或更糟糕的是,在您的计算机上? 这些都是坏主意.</li>
<li>考虑订阅像Lifelock这样的身份盗用保护公司. 或进行定期信用检查以验证活动. 这些可能是为了大大安心的小支出.</li>
</ol>
<p>如果您保留物理文件,请考虑以下其他方法来保护PII.</p>
<ol>
<li>完成文件后,将您的文件切碎. 虽然可以保留最新文件以供参考,但存储记录的方法比在办公室或地下室中的盒子中更多的安全方法. 考虑使用无纸化的陈述并使用数字安全的记录保存系统.</li>
<li>通过将重要文件锁定在安全的地方来控制对信息的物理访问. 或考虑物理安全系统,例如我们使用的系统,Simplisafe.</li>
</ol>
<p>其中一些建议似乎很明显. 但这并不意味着您还没有一两次松懈. 因此,请花一些时间仔细检查您的安全性. 如果您需要帮助,请给我们打电话. 我们在这里帮助您调整您的个人价值观,愿景和财富,其中包括帮助您保护PII.</p>
<p><em>此材料中发出的意见仅用于一般信息,并且不打算为任何个人提供具体的建议或建议.</em></p>
<p><em>文章跟踪#1-577186视频跟踪#1-578855</em> <br /></p>