2018上海市国资委系统信息安全专题培训 | IAM:迎接未来
各位嘉宾、企业界的伙伴,大家好!
三天前发生了一次重大的全球事件,没有爆炸,没有地震,全球股票市场也没有出现重大震荡,但这个事件却对很多领域产生了重大影响,这就是欧盟《通用数据保护条例》(GDPR)。1995年10月24日,23年前开始的一个想法是在三天前到达的。起初没有人注意,因为当时只是一项指令而不是法规。随着时间推移,这个影响像雪球一样越滚越大。2012年1月25日,该指令在欧盟被提出应成为一项法规,然而当时还是没有多少人重视。4年后,2016年5月24日,该法规在欧盟通过并生效,同时给与实体2年的时间来准备遵从法规。现在,这个雪球变成了雪崩,每个人都注意到了。法律就像孩子,成长期比你想象的快。欧盟给予所有实体准备的两年时间已到期,该法案于今年5月25日正式生效。
GDPR的影响蔓延到全球每个国家。我们看下过去几天的媒体发布的一些新闻标题,如:“新法规下美国新闻网站停止对欧盟用户服务”,“GDPR如何影响你喜爱的游戏”,《纽约日报》,《芝加哥论坛报》,《洛杉矶时报》等发布了信息:“遗憾的是,我们的网站目前在欧盟大多数国家都不可用,我们正致力于解决这个问题,并积极寻找方法来支持我们向欧盟市场提供全面的数字化服务功能。” 另外,有关物联网行业的标题还有:“新数据规则下人们的家园停止工作,进入混乱。”比如国内某家知名的智慧家居照明公司,其产品受众遍布全球,因为GDPR的影响目前某些产品的智能化功能已停止对欧盟客户的服务。说到这些,GDPR虽然对行业产生重大影响,但所幸的是与火山或地震不同,人们难以在重大自然灾害下做足充分的准备,而GDPR是一项法律,所有遵从法规要做的准备工作都非常清晰,重要的是你是否足够重视它并且有正确的方法。
“通用数据保护条例”(GDPR),是关于欧盟内所有个人数据和隐私保护的法规,旨在通过强调数据控制者的透明度、安全性和问责性来规范和加强欧盟成员国公民的数据隐私权,这也涉及欧盟成员国个人数据出口到欧盟境外。GDPR的特征为史上最严苛、覆盖面最广,其对个人信息保护有严格明确的法律要求。众所周知,Facebook近期的大规模数据泄露时间,就是未经用户允许擅自将收集到的大量用户个人数据倒卖给剑桥分析数据公司。GDPR的目标主要是确保欧盟成员国公民和居民的个人数据得到有效控制,并在欧盟统一法规,简化国际商业的监管环境。简而言之,这意味着任何企业或组织,还包括在28个成员国开展业务的慈善机构都必须允许其客户有效控制所有收集的数据。
因此,如果你的公司有一个APP被成员国的任何一个人使用,或者如果你是拥有数据收集软件的智能电视或手机制造商,或者你在销售产品或服务中收集了有关客户数据,或仅是从员工那里收集人力资源数据,如果这些业务有可能涉及欧盟任何成员国,组织则需要设定专职人员核查数据收集、访问和使用的合规性,并且须要有具备灵活的信息系统确保这些客户、合作伙伴或员工有效控制数据,有同意使用或删除个人数据的选择权。组织规避法律风险的第一步首先也要证明重视法规,并确定已积极采取了行动措施,否则,必定会在国际市场中遭到巨额罚款,也直接影响到公信力与生存发展。
对于众多组织来说,业务需求和客户需求是不一致的。组织希望收集和使用客户数据,而客户则倾向于提供最低要求的数据并保持拥有对数据的良好控制权。在两个需求之间取得平衡是一项艰巨任务。全球相关监管机构一直在研究如何保护隐私数据的安全,GDPR应运而生,核心原则是让最终用户控制个人的数据。虽然有些组织已提供了简单选择加入或退出的信息控制机制,但是如何获取、证明和撤销对所收集与共享个人数据的整套安全防护机制与GDPR法规要求还相差甚远。按照GDPR指导原则,数据收集须要透明,并用于明确目的,数据信息保持最新和准确,个人有对收集或使用数据的组织提出修改的权利。IT和法律部门应仔细阅读GDPR法规,并将其作为组织战略的第一步,深入研究其影响和应对措施。
现在,我重点要提到的是IAM身份管理与访问控制技术能够从几方面帮助组织达到GDPR合规要求。IAM技术是帮助组织构建全面的身份治理体系,以人的身份、权限控制与访问行为为核心,作为平台而不是单个产品意味着平台的各个组件需共同工作和共享通用服务,平台提供统一的管理功能来访问和跟踪整个组织的所有不同身份数据,非常有助于解决数据与隐私泄露的挑战。用户通过平台除了管理自己的身份,还可以查看所有关于他们的数据,能以便捷的方式在同一界面更改任何不正确的数据,以及与第三方分享的内容。例如,用户可以选择通过云服务与个人保健医生安全地共享可穿戴设备上的详细数据,但只与他们的保险提供商分享部分的活动数据。
通过关注消费者身份安全,数据权限控制是身份管理与访问控制平台天然具备的优势,无论是组织还是个人用户都需拥有合理的访问权限,同时能控制谁在什么时间,因为什么理由,可以访问他们的数据,这对用户体验将有很大提升。另外,IAM平台具备较强的灵活性与扩展性,有效帮助组织达到GDPR的要求,同时实现业务高效融合的需求。举个例子:当客户买了一辆车,他可以通过身份管理平台来给家人授予驾驶这辆汽车的权利,并且可以根据需要随时调整家人的使用权限。通过平台他能及时更新车子的地址等重要信息,还能将汽车的历史车况分享给保险服务商。当他准备卖掉这辆车的时候,他能将车子所有的信息和个人偏好一键自主性删除,真正实现用户个人数据的全面管控。我们须牢记GDPR要求组织在数据泄露的72小时内上报的要求。运用完善的身份管理平台可让组织便捷、快速地展示详细报告,确切了解哪些数据被何人、在何时访问,这对证明组织的合规性至关重要。
开放API是数字演进的下一步,它打破了传统的业务和安全屏障,帮助企业消除信息孤岛,让企业的数据更开放。以身份为中心来解决第三方应用程序与API服务交互的场景,确保应用身份管理、融合认证和最小特权授予原则,将访问权限控制在执行日常工作时绝对需要的范围内。实施最小特权原则能减少攻击的风险,并且更容易实现和证明组织的合规性。IAM对于提高合规监管的效率至关重要,有助于减少合规监管所需的工作量。如果依靠传统的手动控制,将限制内部控制的有效性。凭借标准化的身份管理和访问控制流程,组织须具备相关业务流程的控制权和透明度。负责人可以随时查看业务流程中的所有活动,并在必要时进行干预。这意味着组织能够更有效地控制全流程。通过管理策略配置指定处理任务生效的时间段,来实现访问权限流程审批的自动化流转。用户还可通过自助服务便捷地申请最小访问权限,并根据需要通过临时申请核心业务系统的访问权限来开展业务,任务结束时权限可即时得到关闭,而不会影响整体安全策略和合规性要求。
随着国家倡导“一带一路”中的“走出去”战略,更多国内优秀企业投资到海外发展业务,因此须要重视GDPR。任何一家跨国公司去任何一个地区运作,一定要符合当地的法律法规。如果无法满足,就只能退出这个市场。GDPR违规的最高罚金可达公司全球总收益的4%或2000万欧元中的高者。当前,我们国内数据和隐私泄露问题严重,个人信息侵权事件也时有发生。当用户在安卓市场、苹果应用商店下载各类APP时,如果用户在安装完毕后,拒绝了所有同意获取用户各类信息的请求,用户就无法正常使用APP。很多组织和企业对GDPR的认识与重视度还远远不够,应该加大对GDPR合规工作的重视与投入。组织通过满足国际法规要求,可以提升客户的信任度,提高品牌形象和声誉,加强内部控制和安全管控能力,提升在国际化的竞争优势。一个有公信力和竞争力的现代化企业,须要建立符合国际标准的内部控制体系与身份安全治理机制,以确保组织合理控制是谁,在什么时间,被谁授权,进入了哪些业务系统或访问到哪些设备或数据。做到个人数据隐私保护,首先需要这些收集数据的各种实体或组织建立完善的信息安全管理机制,因为企业可以在没有关注隐私风险时,实施信息安全控制;但无法在没有落实信息安全控制的情况下,完成隐私保护。GDPR应得到组织管理者的足够重视,并应建立信息安全与数据保护管理体系并持续进行改善。
最后,针对今天的主题发言做几点小结:
1、 GDPR将影响更多的行业,涉及范围比当前人们认为的还要大;
2、 GDPR是一项法律,只要严格遵从法规并持续改进,可以将经营风险控制到最低。
3、 GDPR惩罚金额巨大,需要给与足够的重视并积极采取行动措施;
4、 GDPR是全球化发展趋势,除了欧盟,其他国家已加大力度制定相关法律保护个人数据隐私,因此当前各组织对满足GDPR要求的准备工作更能迎接各项挑战,符合未来发展需要;
5、 建立完善的IAM身份管理与访问控制体系,不仅能够有效解决诸多技术问题,而且助力企业提升公信力和竞争力。
