进行PII影响评估保证安全

个人可识别信息（PII）的保护是一项重要职责。如同它的名字所暗示的，PII是指任何你可以用来描绘和识别某人的个人信息。PII包括教育资料、财务往来、病史病历、工作经验，还有其他各种信息。

最近以来PII问题越发重大了。它不仅是如HIPAA(《健康保险可携性与责任性法案》)等的较大立法文件的构成部分，也是一些大公司极其糟糕的公共关系的根源。这个问题你不得小觑——不管你的企业规模大小，PII照样对它产生影响。

在你的公司，客户和职员都必须信任你保护他们的PII的能力；一旦对这些数据管理不善，不管具体原因如何，这种信任都将化为乌有。继之，或早或迟，由于信任的缺失，也就再无法得到客户。

这就是为什么你需要采取措施以保护企业内部的PII的原因。要是等到最后不得不通知顾客资料的遗失和破坏，可就是最为尴尬的事情了。作为进行保护的第一步，你首先需要制定一个保护PII的详细行动计划。

这种安全解决方案免不了让你的企业花费物力、人力和金钱，所以在你着手寻找安全解决方案之前，还得做一点准备工作。那就是先对损失或泄漏PII所导致的财务和规章影响进行分析，得出一份影响评估。然后，你就可以拿这个结果向管理安全资金的人员解释，让他们理解你为什么需要发展PII保护计划。

要执行影响评估，请按以下步骤：

• 识别出所有包含PII的企业数据——你总不能保护不知道在哪儿的东西。开发程序，确定那些电子存储数据的路径，如有必要，可把这些数据移动到特定的存储位置。
• 根据如果遗失或者泄露这些数据会造成的影响的等级对PII进行评估和分类。要时时记得，泄漏员工信息和泄露客户信息的影响不甚相同。
• 为保密起见，开发和实施对所有PII的加密计划。当系统把它们写入任何硬盘驱动器、磁带，及移动媒体时，都应该让它们自动加密这类数据。这种加密措施应该符合甚至超越规章的要求。
• 开发一种策略和程序，用来确定谁可以访问这些数据。开发一种策略和程序，用来确定如何访问这些数据。例如，是不是让移动设备访问这些数据？是否允许远程访问？这种移动/远程设备应当是公司资产还是个人所有？谁可以批准本地和远程访问请求？
• 建立数据遗失或者怀疑遗失后应采取的系列补救方法。万一你真的遗失或者泄露了PII，你需要有一个现成的可用计划。

在你知道了需要保护的数据是什么，以及就如何严格保护它们有所见解之后，还应进行一项风险评估。评估不仅要详细说明风险的补救方法，同时也要充分展示数据存在风险的各种方式和途径。

最后的思考

对于那些企图攻破你公司的安全防线，并想以此吹嘘的身份盗窃犯和黑帽们[注:指那些出于侥幸心理，为了谋取一时的高排名而为搜索引擎采取明令禁止的手段或作弊的手法的SEO（搜索引擎优化师）。]来说，PII是首选的目标。PII保护是应该在损失发生之前就认真对待的事情——而不是之后。如果你以后不在新闻报告中多看些安全策略，那么可以肯定，如果你失于防范，必然会为安全保卫措施的缺失付出代价。

责任编辑:德东

查看原文国际来源