PDF《为符合》

您准备好了吗? GDPR 将於

2018 年5月生效,但许多组织仍在制定计画, 而且可能还没有准备好.

赛门铁克研究报告 (2016 年10 月) 发现,90% 的组织担心 GDPR,而其中仅 26% 有信心 从开始就能完全遵守它的规定.资料防护是一项重要的问 题,组织必须获得正确的解决. 未遵循法规的影响 无法适当保护资料不仅会破坏组织的信心,资料外泄还会 造成业务中断、品牌形象受损和财务损失.此外,组织可 能受监管机关要求承担责任,并面临巨额罚金 (高达 2,000 万欧元或全球每年营业额的 4%,以较高者为准). 如果发现外泄,组织依要求必须在

72 小时内通知监管机 构和被影响的个人.如果没有善加处理敏感资料 (包括风 险管理、资料使用和位置的能见度,以及外泄侦测和应变 计画),则此要求将对组织提出质疑.当然,如果您可以证 明资料获得充分保护 (例如透过加密技术),那麽通知外泄 事件的需求就会大幅减少. 如何定义个人资料? 个人资料的定义为「与个人有关的任何资讯,无论其是否 与私人、专业或公共生活有关.其可以为来自名称、照片、电子邮件地址、银行详细资讯、医疗资讯、社群网路 贴文,或电脑 IP 位址等的任何事物.」 GDPR 的主要规 复杂的 GDPR 内含许多规章,不仅涉及技术,还包括组织 的政策、系统和人员的行为.然而,GDPR 的基本目标在 於确保私有资料保持安全,就任何以在整个生命周期中保 护资料为目标的资料防护计画而言,都有一些主要原则. 为符合 GDPR 规 您需要 Information Centric Security 解决方案简介 简介 欧盟的一般资料保护规章 (GDPR) 著重於资料安全和隐私.其围跨越欧盟边界,并且全球适用.事实上,欧盟内任何 持有或处理个体 (或「资料主体」) 个人资料的组织都必须遵守.GDPR 将於

2018 年5月25 日生效,它将影响组织如何 建立、部署和管理其资讯防护系统. GDPR 的基础在於资料隐私是一项基本权利的概念,组织有责任透过延伸和设计采用资料隐私和资料安全.赛门铁克的 看法是,以资料 (而不是设备、网路或使用者) 为中心的资讯保护策略是一种能够因应全球组织所面临的多种资料防护挑 战的策略,包括 GDPR 的众多要求.

1 Information Centric Security 赛门铁克的 Information Centric Security 其核心正是以保 护资料为目标.这是透过重要的资料防护技术和分析的创 新组合所达成,它能让组织识别、监控和保护敏感资料, 包括移至云端且由第三方组织所使用的资料.如果您担心 资料落入坏人之手,您可以利用分析资料来找出有风险的 使用者,并透过远端触发的存取控制将使用者锁在文件之 外,提供即时防护以防止外泄. Information Centric Security 如何协助您配合 GDPR 的规章 许多组织将使用 GDPR 作为审查和改进如何确保个人资料 同时保持私密和安全的动力.下列的逻辑化四步骤过程可 供您依循: 1. 现有资料防护系统最大的风险是什麽? 2. 如何确认和监控敏感资料,无论其流向何处? 3. 如何保护资料,确保只有预期的使用者能够存取? 4. 如果发现外泄,该如何回应? 在本章节中,我们将说明赛门铁克的 Information Centric Security 技术如何协助您完成此过程. t解您的个人资料C t解您收集的个 人资料以及储存个人资料的任何保 留规则. 评估您的资料安全C 评估目前政策和 程序所提供的安全等级是否足以防 止未经授权的处理和资料遗失. 内嵌隐私C 确保技术内嵌隐私,并建 立保护个人隐私的流程. 保护个人资料C 确保对个人资料进行 全方位的风险管理,包括存取资料 的人员、资料所在的位置、资料的 使用方式,并透过强大的资讯风险 管理和安全获得保护. 控制个人资料的传送C 将个人资料 传送至欧洲经济区域 (例如云端) 以外的地方,将会受到更多的监管审查. 检查任何外泄通知流程,以确保您 的公司随时有工具在

72 小时通知期 限内调查任何外泄的程度.

1 现有资料防护系统最大的风险是 什麽? 赛门铁克协助您评估组织内的资料暴露和相关风险.赛 门铁克可为客户提供防止资料外泄 (DLP) 风险评估,有助 於在影响组织资料的威胁成为重大问题之前,主动加以 确认. 此流程包含在生产网路上的被动式 DLP 监控和搜寻「扫描」,并提供与中断业务流程和潜在恶意活动相关的风险 资讯.它能显示敏感资料在网路上的任何位置、流向,以 及员工如何使用机密资料.例如,从DLP 风险评估中汇 总的资料显示,每50 个网路档案中就有

1 个失误遭到曝 露,每400 封电子邮件中就有

1 封包含可能未受到保护的 机密资讯. 组织可以透过以 Bay Dynamics 技术为后盾的 Symantec Information Centric Analytics (ICA) 获得网路风险的能见 度.透过从已部署的资料防护源与安全系统中获取和连结 大量资讯,Information Centric Analytics 可让您判别有风 险的使用者和行为,有助於定义新的资料防护策略和微调 政策.风险评分可根ビ胂衷诘男形妥柿献拾彩 端进行计算.此使用者和实体行为分析 (User and Entity Behavior Analytics) 可揭示可能导致资料外泄的内部风险.

2 如何确认和监控敏感资料,无论其 流向何处? 为了确保能够充分保护敏感资料 (包括 GDPR 所定义者), 您必须能够在网路上 (例如在档案共用、资料库、存储 库和端点上) 找到并清点此类资料.Symantec Data Loss Prevention 包含立即可用及可自订的 GDPR 侦测政策,可 自动搜寻受法规规的特定资料类型,并透过适当的资安 事端回应加以保护.DLP 经由网路通讯协定 (例如透过电 子邮件或网页) 监控储存在任何地方的资料及其传输的任 何位置,甚至从抽取式储存装置或剪贴簿等的端点传输.

2 解决方案简介 | 为什麽需要适用 GDPR 的INFORMATION CENTRIC SECURITY 模型 主要布建: 应变 侦测 保护 准备 针对员工知悉其所建立的资料属於私密性的情况,赛门铁 克同时允许使用者简单地对资料进行分类,并应用可见的 浮水印将资料的敏感性告知其他使用者. Symantec DLP 和CloudSOC (云端存取安全中介程式) 的整 合,让您在云端中也能判别和监控结构化或非结构化敏感 资料. DLP 同时透过提供建构自动通知流程的功能降低资料遗失 的可能性,教育使用者t解哪些行为会使个人资料置於风 险之中. 造成资料外泄的重要原因之一,就是恶意的内部人员或未 经授权的使用者存取资料并泄露.Symantec Information Centric Analytics 将使用者存取记录与敏感资料的使用交叉 分析,以洞察常见以及更重要的异常使用者行为.

3 如何保护资料,确保只有预期的使 用者能够存取? Symantec Information Centric Security (ICS) 以政策导向 的加密和存取管理,在个人资料的生命周期间提供完整 的防护.其利用防止资料外泄、云端存取安全中介程式 和资料分类以搜寻敏感资料,并透过 Information Centric Encryption (ICE) 随时加以保护.Symantec Information Centric Encryption 会在与供应商、合作夥伴、承包商和企 业子公司外部共用敏感资料时,自动提供保护.加密金钥 会一直由组织本身控制,与云端供应商或安全供应商保持 职责分离. 透过 Symantec VIP 双因素验证 (2FA),可在任何地点和任 何装置将资料存取受限为授权检视者.透过 DLP,还可 以控制传输到不受信任的收件者和可能尚未准备好遵守 GDPR 的第三方组织的资料,并对试图透过 CASB Gateway 存取云端资料的使用者进行地理定位限制.最后,当需要 进行数位销毁 (digital shredding) 时,也可以在任何时候从 集中位置撤销资料的存取权限.

4 如何发现外泄并在72小时内应变? 发现外泄可能是一项极具挑战性的任务,而且通常组织会 意识到,当他们察觉到资料外泄时,外泄已发生一段很长 的时间. 您可以透过各种资料来源获得外泄的迹象,但是这类大 量和多样的资讯集分析需耗费庞大的资源.Symantec Information Centric Security 提供广泛的资料防护遥测 (data protection telemetry),透过与使用者存取 (身份遥 测)、公司资产资料及其他安全系统警示 (威胁遥测) 给合 的Symantec Information Centric Analytics,进行全面性的 分析.Information Centric Analytics 可协助确认特定使用 者的异常行为,或可能暴露恶意内部人员或帐户侵权犯罪 人的设备.透过深入分析 (drill down) 功能将使用者与 DLP 资安事端连结起来,您就能t解已暴露的特定敏感资料和 暴露的原因.赛门铁克同时提供威胁监控解决方案,例如 Advanced Threat Protection 和Cyber Security Service,此 两者不在本文的说明围. 经由执行加密报告,组织可以证明资料获得保护.透过 对资料存取进行集中监控,组织可以追踪敏感资料,并 在发生外泄时确认存取敏感资料的人员和位置.即使资料 是经由授权使用者所暴露,也可以迅速撤销其存取权限. Symantec Information Centric Security 可协助调查资料外 泄并快速应变.

3 建议事项: ? 明智地使用这些最新技术,建置时间可 能比您认为的更长 ? 让您的董事会参与,报告透过安全计画 处理资料隐私的进度 ? t解并处理重大的资料隐私和安全风险 ? 记录您拥有的个人资料并确保合法使用 ? 确认技术可协助您达成法规遵循: C 准备:t解 IT (和资料) 环境和风险 C 保护:随时随地保护个人资料 C 侦测:外泄监控和侦测 C 应变:规划资安事端回应 解决方案简介 | 为什麽需要适用 GDPR 的INFORMATION CENTRIC SECURITY 模型 Copyright ?

2017 Symantec Corporation. 版权所有 ?

2017 赛门铁克公司.All Rights Reserved. 保留所有权利.Symantec、Symantec 标志及 Checkmark 标志是赛门铁克公司或其子公司在美国及其他国家的商标或注册商标.其他名称可能是其各自拥有者的商标. 地址:台北市信义路五段

7 号台北

101 大楼

13 楼A室|

电话:(02) 8726-2000 | 传真:(02) 8726-2199 | www.symantec.com.tw SYMC_SB_InfoCentricSecurity_GDPR_TW_v1a 关於赛门铁克 赛门铁克公司 (NASDAQ:SYMC) 是世界首屈一指的网路安全公司,无论资料位在何处,赛门铁克皆可协助企业、政府和个人确保他们最重要资 料的安全.全球各地的企业均利用赛门铁克的策略性整合式解决方案,在端点、云端和基础架构中有效地抵御最复杂的攻击.同样地,全球各 地超过 5,000 万的人们和家庭社群,也仰赖赛门铁克的诺顿产品和 LifeLock 产品套装软体来保护自身的居家数位生活及各种装置.赛门铁克经 营的安全情报网是全球规模最大的民间情报网路之一,因此能成功侦测最进阶的威胁,进而提供完善的防护措施.若想t解更多资讯,请造访 www.symantec.com.tw. 摘要 Information Centric Security 透过提供全方位的资料防护策略,协助遵循一般资料保护规章 (GDPR),此策略提供立即可用的 GDPR 政策、在受到管理和未受到管理的环境中对敏感资料提供可验证的防护以及调查分析,以快速回应资料外泄事件. 其他赛门铁克 解决方案: ? Symantec Control Compliance Suite C 协助透过 GDPR 完善度评估 (GDPR Readiness Assessment) 确认和管理风险,并提供追踪政策遵循的机制. ? Secure Web Gateway C 搭配 DLP 以控制经由未认 可的云端应用程式 (称为「影子 IT」) 造成的机密 资讯泄漏. ? Symantec Complete Endpoint Security C 提供全 方位的策略来防止和侦测公司端点上发生的资料 外泄事件. ? Symantec Cloud Workload Protection C 为涵盖 公用云端、资料中心和私有云端的云端工作量提 供安全性. ? Symantec Data Center Security C 为资料中心和 私有云端提供完整的伺服器防护和工作量微分段 (micro-segmentation). ? Symantec Email Security C 使用业界领先的威胁 和垃圾邮件防护来保障电子邮件的安全性. ? Symantec Endpoint Encryption C 使用强大的全 磁碟和抽取式媒体加密保护敏感资讯. ? Symantec Cloud Data Protection C 加密/Token 化敏感的 SaaS 应用程式资料,以符合 GDPR 假名 化(Pseudonymisation) 建议. ? Cyber Security Service:利用赛门铁克的专业知 识和威胁情报,最佳化您的网路安全作业,以因 应攻击生命周期的每一阶段. ? 教育服务:充份提升您的产品能力并验证技术知 识,以便从您的 IT 投资中获得最高效益. ? 谘询服务:设计、最佳化和执行您的安全环境, 以便从您的投资中创造最高的防护能力和价值. Data Loss Prevention CASB Information Centric Analytics Data Loss Prevention CASB Information Centric Tagging Information Centric Encryption VIP Data Loss Prevention Information Centric Analytics Information Centric Encryption 准备 保护 侦测 应变 在个人资讯的生命周期中提供保护 Symantec Information Centric Security for Data Privacy and Security ................