歐盟的數據保護新法 GDPR(General Data Protection Regulation，通用數據保護條例)于近日正式生效。雖然這項條例早在兩年前就已正式推出，而且提供了兩年的寬限期，但企業(yè)普遍行動緩慢，大部分企業(yè)在最后一分鐘前才急急忙忙地開始大量發(fā)送郵件和信息征求用戶的明確同意書。這不禁讓我們思考這樣一個問題： GDPR 合規(guī)真的能和安全劃等號嗎?

成都創(chuàng)新互聯公司服務項目包括渭南網站建設、渭南網站制作、渭南網頁制作以及渭南網絡營銷策劃等。多年來，我們專注于互聯網行業(yè)，利用自身積累的技術優(yōu)勢、行業(yè)經驗、深度合作伙伴關系等，向廣大中小型企業(yè)、政府機構等提供互聯網行業(yè)的解決方案，渭南網站推廣取得了明顯的社會效益與經濟效益。目前，我們服務的客戶以成都為中心已經輻射到渭南省份的部分城市，未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任！

　　英國數據保護監(jiān)管機構信息委員會辦公室 (ICO)就 表示，隨著 GDPR 的最后期限越來越近，網站遭遇“多次中斷”情況。

　　布魯塞爾堅信 GDPR 將成為保護人們網絡信息安全的全球標桿，尤其是繼 Facebook 數據收集丑聞之后。

　　歐盟 Justice Commissioner Vera Jourova 表示，新法將讓歐洲人重新控制自己的數據。如今的個人數據安全情況就像是飄蕩在水族館中的裸體。

　　違反 GDPR 的公司將面臨最高2000萬歐元(折合2400萬美元)或全球年營收4%的罰款。另一個可參考數據是歐盟的市場足足有5億人口。

須獲得用戶明確同意

　　GDPR 的關鍵規(guī)定是，個人必須明確給予使用數據的權限。它還規(guī)定了消費者獲悉信息處理方以及信息用途的“知情權”。

　　人們能夠阻攔數據遭出于商業(yè)原因的處理，甚至按照“被遺忘權”要求刪除自己的數據。按照各國的不同規(guī)定，父母將為年齡不到13至16歲不等的少年做出處理數據的決定。

GDPR 是全球標準嗎?

　　大型平臺如 Facebook、WhatsApp 和 Twitter 似乎都準備好迎接這些新規(guī)定，而小公司似乎很猶豫，他們向外界紛紛表達了自己的擔憂。

　　歐盟官方表示起初 GDPR 本來只針對大公司，因為大公司的業(yè)務模式會將重要的個人信息用于廣告用途， GDPR 會給小企業(yè)預留更多的時間進行適應。很多美國人剛開始批評歐洲對全球經濟新引擎制定的法規(guī)約束太快太早，而現在他們也看到了 GDPR 存在的必要性。美國的一名大學教授表示，至少在美國，企業(yè)已經開始快速采用某些 GDPR 版本。歐盟還表示，日本、韓國、印度和泰國也在討論是否需要頒布類似的法律。

　　雖然 GDPR 合規(guī)是安全史上的一個里程碑，但值得提醒的是，合規(guī)并不等同于安全。GDPR 中包含的標準提升當然能帶來好處，就像 PCI DSS、HIPAA 和其它法規(guī)機構提出的安全標準那樣。但跳出安全或法規(guī)機構這個圈子來看，實現和維護合規(guī)從來都不應該是任何安全計劃的終極目標。

合規(guī)并不能保證安全

　　需要銘記的是，近年來披露的很多數據泄露事件都發(fā)生在合規(guī)的公司中。這就意味著，例如，PCI 合規(guī)無法阻止大量零售商、金融服務機構和網絡提供商免遭攻陷，就像2016年大量合規(guī)于 HIPAA 的組織機構所遭受的醫(yī)保數據攻擊事件一樣。

合規(guī)標準并不全面

　　事實上，這種合規(guī)企業(yè)遭攻擊的趨勢強化了合規(guī)標準應該如何被運營和看待的問題：這些標準能夠讓人了解安全計劃的基石但并不充分。最有效的安全計劃認為合規(guī)是綜合安全戰(zhàn)略中相對較小的組件。

　　雖然很多合規(guī)標準確實提供了有價值的指導，如在數據存儲、用戶隱私和事件披露領域，但它們并未解決更多更重要領域中的問題。安全意識、業(yè)務持續(xù)性和滲透測試、員工教育以及技術和策略控制只是其中的幾個例子而已。這也是為什么說當評估第三方風險和對潛在廠商實施盡職調查時，有必要查看合規(guī)以外的東西的原因。確實，一個企業(yè)的安全態(tài)勢無法全部通過合規(guī)信息反映出來，后者只是反映了一小部分而已。

　　例如，并非所有的執(zhí)行數據存儲標準的合規(guī)機構都強制執(zhí)行加密機制。HIPPAA 特別建議執(zhí)行加密，但并未要求對通過電子存儲的 PHI 進行加密。不能僅憑某個電子醫(yī)療記錄系統(tǒng)的廠商合規(guī) HIPAA 就認為它對 PHI 信息進行了加密。GDPR 的情況也一樣，雖然它極力鼓勵加密用戶數據并對未能有效保護用戶數據的企業(yè)進行處罰，但它并未強制要求加密。這種趨勢和其它多個合規(guī)機構提出的標準并無二致。

威脅比合規(guī)標準演進得更快

　　對手，無論是找到新方法識別 0day 漏洞的對手還是繞過最新反欺詐控制機制的對手，都在不斷改變其戰(zhàn)術、技術和程序 (TTPs) 及最終威脅。這些快速改變就是為何走在對手前面要求采用動態(tài)迭代的安全方法的原因。

　　然而，這種方法和合規(guī)標準的靜態(tài)的合規(guī)本質及其以合規(guī)為中心的安全計劃之間存在巨大差異。HIPAA 自2003年頒布《安全規(guī)定》依賴并未修訂其安全要求，盡管大量數據泄露、勒索攻擊自此之后就攻擊醫(yī)療行業(yè)并攻陷了數百萬個人的 PHI。盡管 PCI 標準的更新頻率更高，但遠遠無法和威脅局勢的演進速度相比。例如，盡管實現 EMV 芯片技術已經幫助減少了支付卡欺詐現象，但其它多種類型的欺詐現象如禮品卡欺詐、身份盜取和稅務欺詐等數量已在不斷增多。

　　盡管合規(guī)標準應當但只能是更廣泛安全戰(zhàn)略的一個組成部分，但實現并維護合規(guī)性仍然是增加負擔且消耗密集資源的進程。對于很多組織機構而言，嚴格的最后期限、復雜的實現以及高昂的非合規(guī)出發(fā)等因素讓他們認為采用以合規(guī)為中心的安全方法看似是合理而正確的決策。但值得記住的是，雖然很多合規(guī)標準確實提供了清晰可見的巨大安全好處，但它們還沒有全面或靈活到能作為有效安全計劃的唯一焦點的地步。

分享文章：GDPR正式生效！合規(guī)就一定是安全的嗎？-創(chuàng)新互聯
網站URL：http://www.rwnh.cn/article48/ceijep.html

成都網站建設公司_創(chuàng)新互聯，為您提供搜索引擎優(yōu)化、網站維護、網站改版、品牌網站設計、企業(yè)網站制作、品牌網站建設

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯