加入收藏 | 设为首页 |

大数据治理系列:6 如何保护大数据的安全和隐私

隐私 时间:2020-05-18 浏览:
大数据治理系列:6 如何保护大数据的安全和隐私 从安全和隐私的角度来看,大数据与其他传统数据不同,需要不同的方法。但是可以扩展许多现有的方法和实践,以支

安全隐私的角度来看,大数据与其他传统数据不同,需要不同的方法。但是可以扩展许多现有的方法和实践,以支持大数据的安全隐私模式。

一、为什么大数据的安全和隐私与传统数据不同

从表面上看,大数据似乎与传统数据有着类似的风险和暴露。然而,在以下几个关键领域,情况却截然不同:

更多的数据意味着在数据泄露事件中暴露的风险更高。

更多的实验性使用意味着组织的治理和安全规程不太可能到位,特别是在测试和部署的初始阶段。

新的数据类型正在揭示新的隐私含义,几乎没有隐私法律或指导方针来保护这些信息。例如,用于监测电力使用的联网家庭和数字电表(eMeters)、广播物理位置的手机信标、医疗、健身和生活方式跟踪器等健康设备以及跟踪汽车位置的远程信息数据。

其他数据的公开。有安全风险的增加不仅仅暴露隐私数据,而且数据根据合规规定如巴塞尔协议II,健康保险流通与责任法案(HIPAA),支付卡行业数据安全标准(PCI DSS),和《萨班斯-奥克斯利法案(SOX),和关键的公司内部信息,如智力资本(软件、算法等等)

不成熟的市场。Hadoop的许多领域仍在发展。

数据连接和合并敏感数据。将多个数据源组合在一起的行为可能会导致意外的敏感数据公开,通常是在缺乏意识的情况下。例如,拉塔尼亚·斯威尼博士在1997年进行的一项研究,仅通过出生日期、性别和邮政编码,就能将个人与美国人口普查进行匹配,从而识别出87%的个人。

匿名化生产数据。大数据的大部分价值在于揭示不需要识别个体的模式。因此,组织越来越多地使用匿名化和去标识来删除单个标识符,同时仍然从数据中获得实用价值。

二、信息安全定义

根据美国国家标准与技术研究院(NIST)的定义,信息系统安全,也被称为INFOSECISS,定义为“为了提供机密性、完整性和可用性,保护信息和信息系统不受未经授权的访问、使用、泄露、中断、修改或破坏。”

下面主要介绍与数据保护相关的安全性。大数据环境中需要考虑的其他安全领域还包括用户和应用程序级别的安全性。信息安全的两个驱动因素包括遵从命令和防范入侵和破坏。

安全框架可以在规划大数据安全实现方面使用。安全框架提供了一组首选实践、操作标准和控制,以指导组织评估漏洞、规划和实现安全计算,并减少数据和系统入侵的风险。

这些框架指定了信息安全管理系统(ISMS)的基础。

目前有几种安全框架在使用,例如信息和相关技术的控制目标(COBIT)NIST和国际标准组织(ISO 27000)。在这三个标准中,ISO 27000是唯一包含公司认证标准的框架。它在本质上也是可跨国使用的。值得注意的是,尽管ISO 27000为安全策略、资产管理、加密和访问控制指定了标准,但它并没有专门处理数据安全性本身。相反,安全框架通过用户身份验证和职责分离等控制来支持数据安全。检查您的组织,以更好地了解它使用的框架,以及数据安全的现有标准、策略和过程。同时,确保你了解你的组织的主要遵从性需求,如巴塞尔协议IIPCIHIPAASOX。关于ISO27000的更多信息,可以访问以下网站:

三、数据隐私的定义

国际隐私专业人士协会(IAPP)将数据或信息隐私定义为“个人、团体或机构自行决定何时、如何以及在何种程度上将其信息传达给他人的权利主张。 

世界各地的隐私法都是由各种法律法规拼凑而成的。大多数包含一组被称为公平信息实践原则(FIPPs)的共享原则,用于管理信息的通知、选择和同意、收集、使用、访问、处理和程序管理。有关FIPPs的更多信息,请访问以下网站:

以下是大数据从业者需要遵循的三个关键原则,主要包括:

1. 选择和同意意味着个人有权选择加入或退出数据收集。

2. 收集和使用限制个人信息的收集仅用于指定的目的。

3.保留和处置(数据最小化)规定,数据只能在需要的时候保留,之后再进行处置。

您可以看到这三个原则对大数据的潜在影响,因为您收集和存储的信息只应用于您的隐私通知中指定的用途,并仅在需要时保留。向您的隐私办公室或法律顾问咨询,了解您组织的隐私政策,因为它们构成您关于如何管理和保护敏感数据的决策的基础。

1、什么是敏感数据

2、隐私运营结构

当您采取技术措施来保护信息时,了解这些活动在隐私业务实践(通常由隐私办公室管理)中的位置是至关重要的。下面是对操作结构、框架、成熟度模型和隐私生命周期的简要描述。在这些实践中,我们强调与技术大数据从业者相关的领域。

1)隐私框架

隐私框架是FIPPS的扩展,由一组指导方针组成,这些指导方针管理敏感信息的创建、使用、共享、处理和程序管理的隐私策略。框架为隐私程序提供了结构和实现路线图。主要框架包括美国加拿大注册会计师/注册会计师协会(AICPA /亚信论坛)公认的隐私原则(新闻出版总署)、经济合作与发展组织的隐私准则(经合组织(欧盟))4,隐私设计(PbD),亚太经济合作组织(APEC), ISO / IEC 29100:2013,和加拿大的个人信息保护和电子文件法(PIPEDA)。咨询您企业的隐私或法规遵循办公室,以更好地了解您的组织使用的框架。

2)隐私成熟度模型