iT邦幫忙

2024 iThome 鐵人賽

DAY 8
0
Security

30 天成為 IAM 達人系列 第 8

Day 8: 身份安全挑戰:資料隱私與資料主權

  • 分享至 

  • xImage
  •  

傳統身份安全著重在認證、授權以及零信任策略的實施,
但在最新的全球資料安全法規裡,
針對「資料隱私」與「資料主權」的議題,
也是在資訊安全合規性面向顯著關注的議題。

資料隱私 (Data Privacy)

資料隱私,是一個人應對其個人資料進行控制的原則,
包括決定組織如何收集、儲存和使用其資料的能力。
當今各個企業組織會定期收集使用者數據,
例如電子郵件地址、生物特徵識別和信用卡號。
對於資訊隱私而言,資料隱私的管理議題,意味著採取相關管理措施,
例如處理資料之前獲得使用者同意、保護資料免遭濫用以及使用戶能夠主動管理其資料。

最為重要的資料隱私保護法規即為,《一般資料保護規範》(GDPR),
組織企業都有維護資料隱私權的法律義務,
即使沒有正式的資料隱私立法,主動的保護使用者隱私,
也能夠主動的保護敏感資料和系統免受惡意駭客的攻擊。

資料安全 v.s. 資料隱私
資料安全雖然包含資料隱私的議題,
但其實兩者是不同的的著重主題與學科。

「資料隱私」關注資料主體(即擁有資料的使用者)的權利,
即實施允許使用者根據相關法規控制資料的保管政策和流程。
「資料安全」則係著重於保護資料免遭未經授權的存取和濫用,
資料安全實踐主要是部署控制措施來防止資料遭未經授權存取或洩漏。

這兩雖然關注的面向不同,但卻互為表裡互助:
資料安全透過確認正確的人基於正確原因存取資料來強化資料隱私;
資料隱私則為任何資料蒐集前提確認是否為「正確的人」和「正確原因」來強化資料安全。

資料主權 (Data Sovereignty)

「資料主權」是指資料受到其產生國家或地區法律的約束,
包含網路安全、資料安全、資料隱私,以及如何保護敏感資料免遭破壞。

雖然資料主權的法律因地區而異,
但當一個國家被稱為對某項資料擁有「主權」時,
意味著它對該資料的使用方式以及誰可以存取該資料擁有法律意義上的管理權威。
但整體資料主權的實施與資料存取管控,
通常受到多個國家/地區的法律的約束,
包含資料可能在特定國家或地區產生,但在別的地方儲存或處理,
這使得跨國企業整體的資料管理、儲存和處理變得更加複雜。
這其中牽涉:儲存和處理資料的相關法律,跨境限制、隱私權與資料完整性議題等。

資料主權的關鍵組成,除了資料本體外還包含:
維運主權、數位主權等三大核心部分。

維運主權(Operational sovereignty)

確保關鍵基礎設施始終由需要的個人、實體和應用程式使用,
許多為運主權的方法包括 業務連續性災難復原計劃,
透過遵守基礎設施營運的監管方式,滿足當地法律與主管機關要求。

數位主權(Digital sovereignty)

在資料主權的框架下,數位主權係要求始終得掌握組織控制下的數位資產。
數位資產包含資料、軟體、內容和數位基礎設施等,
透過「治理」和「透明度」方面,利用存取控制規範授權者與可存取資源。
使組織能夠以可重複方式管理其基礎設施和程序的資料主權流程。

小結

資料主權議題,自從 GDPR 法規實施後,
成為各企業遵守資料隱私、滿足資料主權監管的指標,
除了技術性的控制項目之外,建議也可透過:

  • 熟悉相關法律法規
  • 與當地政府或有關單位建立溝通管道
  • 與當地法規與資訊安全專家合作

來滿足整體企業資料主權的法規監管與合規的整體需求。


上一篇
Day 7: 身份安全框架:零信任核心策略
下一篇
Day 9: 身份安全應用:身份即服務 (IDaaS)
系列文
30 天成為 IAM 達人30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言