许多企业现在完全依赖于存储在其网络服务器、个人电脑、笔记本电脑、移动设备和云服务提供商处的数据。这些数据中可能包含个人信息和/或公司机密信息。.
本文将探讨在审查计算机系统访问控制安全性时需要考虑的一些问题。《通用数据保护条例》(GDPR) 规定了安全原则,即在安全处理个人数据时必须采取“适当的技术和组织措施”。2018 年《数据保护法》(DPA) 的第六项原则也重申了这一原则,该原则是对 GDPR 的补充,并规定“必须以安全的方式处理个人数据”。.
因此,防止未经授权或意外访问您处理的个人数据是实现合规的重要一步。.
访问安全
良好的计算机和网络访问控制可以最大限度地降低数据被盗或滥用的风险。.
访问控制可以分为两大类:
- 物理访问权限——控制谁可以进入场所以及谁可以访问个人数据
- 逻辑访问控制——确保员工只能访问履行其特定职责所需的适当软件、数据和设备。.
物理访问
除了配备锁具、警报器、安全照明和闭路电视等物理访问控制措施外,还有其他需要考虑的因素,例如如何控制对场所的访问。.
除非有严格监督,否则不应允许访客随意走动。.
确保从外部看不到电脑屏幕。.
使用网络策略确保工作站和/或移动设备在无人值守或不使用时被锁定。.
确保移动设备丢失时可以远程锁定。.
移动设备体积小巧,属于高风险物品,因此敏感数据应始终加密,并且应通过 PIN 码或密码控制对服务的访问。.
可能需要禁用或限制对 USB 设备和光读写器的访问。.
可能需要通过 Radius 服务器或其他网络硬件来阻止网络端口,以防止未经授权的设备通过电缆插入网络。.
最后,纸质资料应妥善销毁。.
逻辑访问
应采用逻辑访问控制技术,确保人员拥有的访问权限不超过其履行职责所需的权限。.
敏感数据应进行加密,并通过网络安全、访问控制列表和用户配置文件来控制对该数据的访问。.
对某些应用程序和某些文件夹的访问权限可能也需要根据每个用户的具体情况进行限制。.
最后,可能需要锁定某些机器上的某些设备,可以通过 Windows 中的组策略或第三方管理应用程序来实现。.
密码
采用用户名和密码组成的密码策略是一种良好的做法。.
这些功能有助于识别网络上的用户,并赋予其相应的权限。.
然而,为了使密码有效,它们应该:
- 长度要相对较长(例如八个字符或以上)
- 包含字母、数字和特殊字符(例如 &^”) 的混合。
- 可通过自动密码续订选项定期更改密码
- 员工离职时,这些内容可能会被删除或更改。
- 可用于包含个人信息的单个文件,例如电子表格或文字处理文档
- 使用强大的加密算法在您的系统内进行加密。
而且不应该
- 使用统一密码(即对所有应用程序或所有用户都相同)
- 写在贴在键盘或屏幕上的便签纸上
- 由常用词语或短语,或公司名称组成。.
- 除非只是临时密码(没有提供任何辅助信息,例如密码用途和用户名),否则将通过电子邮件发送。
- 不会以纯文本形式存储在您的系统中。.
审计访问
虽然 GDPR 没有法律要求,但记录和监控数据(以及对数据所做的更改)将对遵守 GDPR 第 32 条大有帮助。.
对数据处理进行审计,可以帮助您审查、报告和证明:
- 谁在何时访问了这些数据?谁访问了这些数据?
- 数据访问频率如何,以及这种访问量是否合适。
- 如果发生意外数据丢失,请检查已进行的更改以及由谁进行的更改。.
虽然 GDPR 和 2018 年数据保护法都没有明确规定您需要采取的具体措施,但您应该考虑使用适合您自身需求以及您正在处理的数据的技术解决方案。.
