十条概念区分信息安全与隐私保护

2019-07-18 18:20:16

安全和隐私的区别在哪里

来源: 王小瑞

安全和隐私的区别在哪里?

由于缺乏统一认可的标准,许多中小企业的客户都会对一些安全专业的名词感到困惑,他们不明白这些专业名词之间的区别是什么,相似之处又是什么。对于企业的领导人来说,尤其是那些并没有专职人员去处理和解决这些问题的中小企业,理解这些名词的真正意义非常重要,以帮助他们在信息保护和隐私管理方面做出正确的决策。

那么,安全和隐私的区别到底在哪里呢?下面的七条概念能够帮助大家更好的理解二者的不同:

1.安全是过程,隐私是结果。
2.安全是行动,隐私是成功行动后的结果
3.安全是问题,隐私是对问题的预判
4.安全是战略,隐私是成果
5.隐私是存在的一种状态,安全是支撑这种存在的构成
6.安全是战术策略,隐私是这种战术策略的目标
7.安全是密函,隐私是密函中信息的成功递付

这七条概念基本上可以帮助我们理解一般意义上的安全与隐私的区别,但除了这些还需要注意以下三点:
“加密确保隐私”的说法不正确

简而言之,加密只是一种保护信息的安全手段。它当然可以防止未授权的实体看到个人隐私或说个人信息,但隐私所包含的内容远不止这些可以轻易隐藏掉的信息。个人信息的使用、分享,个人对相关信息的访问,对个人信息如何被使用及分享的选择权、清除权等等。企业或机构需要一个综合的隐私保护框架来确保所有的隐私准则被囊括在内,依据并执行。下面是一些主流的,广泛得到认可的隐私框架:
•经合组织(OECD)隐私保护准则(2013更新)
•AICPA/CICA公认隐私保护准则(GAPP)
•美国公平信息实践准则(FIPs)
•亚太经合组织(APEC)隐私保护框架
•澳大利亚国家隐私保护准则
上述隐私政策实用有效,而且已经得到良好的实施,是非常不错的参考资料。尤其是OECD和GAPP,在隐私影响评估方面很有借鉴意义。考虑到加密是保证信息机密性的安全工具,因此可以得到第八条概念:

8.安全能够保证信息的机密性,隐私则常常需要这种机密性

“隐私保护主要与法律相关,而安全则属于IT范畴”的说法不正确

需要特别注意的是,过去的隐私保护法都是在大量的破坏个人隐私和招致负面影响的隐私事件发生后制定的。因此,仅因为某个方面没有隐私法并不意味着该方面就没有隐私风险。比如与隐私问题密切相关的大数据分析和物联网,目前的隐私法并没有覆盖到如此宽泛的隐私风险领域,但我们知道,在这些领域存在着许多个人信息的隐患。粗略的估计,隐私法顶多只涵盖了50%到60%的隐私风险。
信息安全不仅仅是保护IT资产,它还包括印刷品、音频、视频等各种存储形式的信息。不仅仅是保护个人隐私,它还包括各种类型的信息资产,信息的生命周期等相关信息。以下是三种隐私信息保护的范围:

1) 技术相关(许多机构错误的认为,这是唯一与企业隐私保护相关的领域)
2) 管理相关(包括信息安全管理活动、政策、支持、培训、意识,以及所有与人类活动有关的行为)
3) 实体相关(对信息存储的各种形式和各种介质的保护)

因此可以得到第九条概念区分:
9.隐私远不止是法律问题,安全远不止是技术问题

“安全与隐私有冲突”的说法通常不正确

经常有人说,安全与隐私不可兼得。这是非常错误的。信息安全控制的目标就是要完成对隐私的保护。很多人都认为信息安全与安全保护是一回事,比如美国国家安全局大范围对电话监听,社交媒体Facebook跟踪所有的用户活动等等。当然,上述的这两种行为的确造成了安全与隐私的冲突,可是这些行为本身并不符合严格意义上的信息安全活动,即便在这些监控和跟踪活动中还可能使用了信息安全工具。正如隐私保护需要信息安全工具一样,这些工具也可以被用来支持许多其他方面的工作。正是这些“其他”方面的工作与隐私保护产生了冲突,而不是信息安全本身。

因此这就引出了隐私与安全的第十条概念区分:

10.信息安全是聚焦于信息资产的安全工具和安全行为,隐私保护则是利用这些资产对个人信息的使用和保护。

信息安全和隐私保护有许多重叠的地方,但最终二者相关的行为和目标都有所不同。对于信息安全人员来说,要对所有形式、各种类型的信息资产进行安全控制,个人信息保护只是其中的一个子集。无论是中小企业还是大企业,都必须实施信息安全控制以减少存在于各自业务环境中的隐私泄露风险。

王小瑞,财经、IT文章写作者,社会工程学名著《欺骗的艺术》译者,《财经界》杂志长期撰稿人,曾任中国计算机安全网、光芒网主编,现任安全牛主编
标签  信息安全  

这是一个专为移动设备优化的页面, 基于AMP(Accelerated Mobile Pages)是谷歌的一项开放源代码计划

完整版本:http://qisec.cn/a/10022

黑老头(hlaotou.com), 致力于个人隐私保护

1.84899999999ms