美国马萨诸塞州日前颁布了数据隐私和数据安全法规来弥补美国加利福尼亚州关于数据隐私和安全州法的不足。这项法规的颁布势必对美国企业日前通行的政策,实践,流程,合同和培训等产生深远影响。马萨诸塞州消费者事务和商业规程办公室认为目前迫切需要制定全面而标准的法规来确保企业采取实际行动来保障私人信息的安全。尽管很多企业可能已经接受并采取了很多这方面的行动,但还需要一份标准细则。对于企业而言,将从马萨诸塞州居民处收集的信息与其他人的区别对待显然是不切实际的,全国范围内的很多企业必须从全盘出发来对待他们的数据隐私和安全保护,来确保他们能符合马萨诸塞州的标准。
从2009年1月1号起,所有从马萨诸塞州居民处获得的个人信息都必须通过全面的书面安全计划,执行内部和外部的安全审核并且完成与安全计划有关的员工培训。企业的相关规模和信息维护的类型和数量决定着安全计划的有效性。这份标准还清楚的说明安全计划最少要包括以下几个方面:
-分配一名或者以上的员工来专门负责维护安全计划。
-对涉及安全和机密性的内部和外部风险进行鉴别和评估,对电子数据,纸张或者包含私人信息的其他记录的完整性进行鉴定和评估
-对目前预防和探测安全系统故障的措施和方法进行评估
-对现有的员工培训计划进行贯彻和评估(必须包括临时员工和合同制员工)
-对员工对政策和流程的执行力度进行贯彻和评估
-制定和开发安全政策,明确员工在将包含个人信息的记录在企业外部进行保存,访问和传输时的权限和方式
-对违反计划规定的员工进行规范和约束
-员工解聘当日立即取消解聘员工访问包含个人信息记录的权利
-采用合理措施来核实访问个人信息的第三方服务提供商有保护个人信息的能力,这些措施包括:
–选择和保留具备维护个人信息安全能力的第三方服务提供商
–要求与第三方服务提供商签订有关遵守政府标准的安全计划维护的合同
–限制那些出于合理需求来实现合法目的所收集的个人信息数量;限制那些出于合理需求而收集的个人信息保留的时间;限制那些处于合理需求来掌握这些私人信息的人员的数量,或者要求他们必须遵守法定的要求。
–要求对鉴定纸张,电子和其他记录,计算机系统和用于存储个人信息的笔记本电脑和移动设备等存储媒介进行审核,来决定那些记录包含个人信息,除非安全计划允许处理这些记录才能进行操作。
–对包含个人信息的记录进行物理访问实施合理的约束,包括制定限制此类信息的物理访问的书面章程,对此类信息的存储和存储区或锁定设备中的数据进行约束的规定。
定期的监控能确保安全计划的顺利实施,阻止对个人信息的未经授权访问和使用;作为控制风险的必要手段来随时更新信息安全保护工具。至少要按年来审查安全措施,无论在企业实践中发生了那些涉及安全或者包含个人信息记录的违规行为都能及时发现和制止。涉及安全泄密的文件事故和可能导致疏忽的企业实践都需要监控。
这份标准还规定了对马萨诸塞州居民的个人信息的电子化存储或者传输的计算机系统的最低技术要求:
安全用户鉴定协议包括:
-控制用户ID和其他身份识别。
-为指定和选择密码提供合理的安全措施(比如采取生物识别或者符号装置来进行鉴定)
-控制数据安全密码来确保这些密码保存的地址和格式不会危及到他们所保护的数据安全-限制对活动用户和活动用户帐户的访问-用户多次尝试访问失败后或者对特殊系统访问限制后,要阻止该用户的使用
安全访问控制措施包括:
-限制那些出于工作职责所需来对包含个人信息的文件和记录进行的访问
-为每个访问计算机的人指定唯一的鉴别手段外加密码,这个密码不能是厂商提供的缺省密码。维护对安全的访问控制的完整性
-对所有通过公共网络传输的包含个人信息的文件和记录进行加密,对所有无线传输的数据进行加密
-对系统实施合理的监控,对私人信息的访问都需授权使用
-对所有存储在笔记本电脑或者其他移动设备上的个人信息进行加密
-提供合理的实时更新的防火墙保护和操作系统安全补丁,以此来保护连接到因特网上的系统上的包含个人信息的文件和维护个人信息的完整性。
-提供系统安全软件的实时更新版本,这个版本必须包括木马程序保护,实时更新补丁和防病毒入侵功能。或者是能够支持实时更新补丁和防病毒功能的软件。要定期接收最新的安全更新通知。
-培训员工正确使用计算机安全系统的方法和培养个人信息安全重要性的意识
