Skyddar sekretess för säker tillgångar - dummies

Begreppet sekretess är nära relaterat till konfidentialitet, men är mer specifikt inriktat på att förhindra obehörig användning eller offentliggörande av personuppgifter. Personuppgifter som vanligtvis kallas personligt identifierbar information (PII) kan innehålla

• Namn
• Adresser
• Kontaktinformation
• Socialt säkerhetsnummer
• Finansiell kontonummer
• Födelsedatum och födelseplats
• Lopp
• Civilstånd
• Sexuell läggning eller livsstil
• Kredithistoria och annan finansiell information
• Kriminalregister
• Utbildning
• Sysselsättningsregister och historia
• Hälso- och sjuksköterskor och medicinska data (känd som skyddad hälsoinformation eller PHI, känd som elektronisk skyddad hälsoinformation eller ePHI, i elektronisk form)
• Religiös preferens
• Politisk anslutning > Andra unika personliga egenskaper eller egenskaper

Varje organisation som samlar in personuppgifter om alla (inklusive bland annat anställda, kunder och patienter) måste ha en väldefinierad, publicerad och distribuerad sekretesspolicy som förklarar varför uppgifterna är samlas in, hur det används, hur det kommer att skyddas och vad individens rättigheter gäller för de personuppgifter som samlas in.

Som med alla andra känsliga uppgifter måste organisationer tilldela dataägare och förvarare (eller processorer) som i sista hand ansvarar för att skydda personuppgifter och för säker insamling, bearbetning och användning av data. Någon inom en organisation som har tillgång till personuppgifter i någon form måste vara välbekant med etablerade förfaranden för insamling, hantering och skydd av sådan information under hela dess livscykel. Detta inkluderar lagring och förstöring av privata data och tekniska problem som

dataöverföring.

Datareferens

avser återstående data som finns kvar på lagringsmedia eller i minnet efter att en fil eller data har raderats eller raderats. Dataöverföring sker eftersom standardrutiner för radering endast markerar "raderade" data som lagring eller minnesutrymme som kan skrivas över. För att fullständigt eliminera dataöverföring måste lagringsmedia torkas ordentligt, degaussed, krypteras eller fysiskt (och fullständigt) förstörs. Objektåteranvändning avser ett objekt (till exempel minnesutrymme i ett program eller ett lagringsblock på media) som kan innebära en risk för dataöverföring om den inte är korrekt rensad.

Det finns många lagar och bestämmelser om integritetsskydd på regionala (som Europeiska unionen), land (eller federala), statliga och lokala nivåer i hela världen samt i olika branscher. Sekretessskyddslagar är bland några av de strängaste lagarna som antagits och lagkraven varierar kraftigt. Dessa lagar begränsar också vanligtvis samlingen, användningen och behållandet av personuppgifter, liksom gränsöverskridande informationsflöden (eller export) av personuppgifter.

Slutligen uppstår vissa anställdas personuppgiftsfrågor inom en organisation ofta med avseende på arbetstagares rättigheter med avseende på övervakning, sökning, drogprovning och annan politik.

Övervakning förekommer vanligtvis i många former inom en organisation, inklusive Internet, e-post och allmän datoranvändning, samt genom övervakningskameror, åtkomstmärken eller nycklar och klockor, bland annat. Obligatorisk och slumpmässig drogtestning och sökningar på skrivbord, förvaringsskåp, arbetsytor och till och med personligt ägda fordon är andra gemensamma policyer som kan framkalla anställdas integritetshänsyn.

För att minska eller eliminera medarbetarnas integritetshänsyn bör organisationspolitiken tydligt definiera (och kräva skriftlig bekräftelse av) acceptabla användningsprinciper (AUP) för dator, Internet och e-postanvändning. Ytterligare strategier bör förklara övervakningsändamål, godtagbar användning eller beteende och eventuella disciplinära åtgärder som ett resultat av överträdelser. Slutligen bör organisationspolitiken tydligt ange att arbetstagaren inte har någon

förväntan om integritet när det gäller organisationens övervaknings- och sökpolicy.