由於對安全和隱私的概念缺乏統一認可的標準,這令許多企業客戶和領導人不明白安全和隱私之間的區別是什麼,相似之處又是什麼?對於企業的領導人來說,理解安全和隱私的概念非常重要,這可以幫助他們在信息保護和隱私管理方面做出正確的決策。
那麼, 安全和隱私的區別究竟在哪裏呢?下面的十條概念能夠幫助大家更好的理解二者的不同:
1. 安全是過程,隱私是結果。
2. 安全是行動,隱私是成功行動後的結果。
3. 安全是問題,隱私是對問題的預判。
4. 安全是戰略,隱私是成果。
5. 隱私是存在的一種狀態,安全是支撐這種存在的構成。
6. 安全是戰術策略,隱私是這種戰術策略的目標。
7. 安全是密函,隱私是密函中信息的成功遞付。
8. 安全能夠保證信息的機密性,隱私則常常需要這種機密性。
9. 隱私遠不止是法律問題,安全遠不止是技術問題。
10. 信息安全是聚焦於信息資產的安全工具和安全行爲,隱私保護則是利用這些資產對個人信息的使用和保護。
這十條概念基本上可以幫助我們理解一般意義上的安全與隱私的區別,但除了這些還需要注意以下三點:
一、“加密確保隱私”的說法,不全面
簡而言之,加密只是一種保護信息的安全手段。它當然可以防止未授權的實體看到個人隱私或說個人信息,但隱私所包含的內容遠不止這些可以輕易隱藏掉的信息。
如個人信息的使用、分享,訪問,對信息如何被使用及分享的選擇權、清除權等等。企業或機構需要一個綜合的隱私保護框架來確保所有的隱私準則被囊括在內,依據並執行。下面是一些主流的,廣泛得到認可的隱私框架:
• 經合組織(OECD)隱私保護準則(2013更新)
• AICPA/CICA公認隱私保護準則(GAPP)
• 美國公平信息實踐準則(FIPs)
• 亞太經合組織(APEC)隱私保護框架
• 澳大利亞國家隱私保護準則
上述隱私政策實用有效,而且已經得到良好的實施,是非常不錯的參考資料。尤其是OECD和GAPP,在隱私影響評估方面很有借鑑意義。
二、“隱私保護主要與法律相關,而安全則屬於IT範疇”的說法,不正確
需要特別注意的是,過去的隱私保護法都是在大量的破壞個人隱私和招致負面影響的隱私事件發生後製定的,因此,在某個方面沒有制定隱私法不代表該方面就沒有隱私風險。
比如和隱私問題密切相關的大數據分析和物聯網,目前的隱私法並沒有覆蓋到如此寬泛的隱私風險領域,但我們知道,在這些領域存在着許多個人信息的隱患。粗略的估計,隱私法頂多只涵蓋了50%到60%的隱私風險。
而信息安全也不僅僅是保護IT資產,它還包括印刷品、音頻、視頻等各種存儲形式的信息。除了保護個人隱私,它還包括各種類型的信息資產,信息的生命週期等相關信息。以下是三種隱私信息保護的範圍:
• 技術相關(許多機構錯誤的認爲,這是唯一與企業隱私保護相關的領域)。
• 管理相關(包括信息安全管理活動、政策、支持、培訓、意識,以及所有與人類活動有關的行爲)。
• 實體相關(對信息存儲的各種形式和各種介質的保護)。
三、“安全與隱私有衝突”的說法,通常不正確
經常有人說,安全與隱私不可兼得,這是非常錯誤的觀念,信息安全控制的目標就是要完成對隱私的保護。
很多人都認爲信息安全與安全保護是一回事,比如美國國家安全局大範圍對電話監聽,社交媒體Facebook跟蹤所有的用戶活動等等。當然,上述的這兩種行爲的確造成了安全與隱私的衝突,可是這些行爲本身並不符合嚴格意義上的信息安全活動,即便在這些監控和跟蹤活動中還可能使用了信息安全工具。
正如隱私保護需要信息安全工具一樣,這些工具也可以被用來支持許多其他方面的工作。正是這些“其他”方面的工作與隱私保護產生了衝突,而不是信息安全本身。
信息安全和隱私保護有許多重疊的地方,但最終二者相關的行爲和目標都有所不同。對於信息安全人員來說,要對所有形式、各種類型的信息資產進行安全控制,個人信息保護只是其中的一個子集。無論是中小企業還是大企業,都必須實施接入控制以減少存在於各自業務環境中的敏感數據泄露風險。
轉自:聯軟科技企業新聞