实用法律连接内部法律顾问的数据隐私资源

数据隐私的实用法律连接 汤森路透实用法律资源的样本，用于内部法律顾问。 我们的工作是让你在你的 Thomson Reuters ® Practical Law Connect是专为内部法律顾问设计的，提供专家编写和维护的操作指南，模板，清单，比较图表等，以及相关的Westlaw ®内容，按内部常见事项组织。 关键资源 实用法律连接资源由我们的律师编辑专家团队编写和维护，并不断更新以反映最新的法律和市场实践。 “...当我聘请外部律师时，对我来说几乎是实践法最宝贵的时间，因为每小时一千美元，我不想获得有关我自己可以阅读的东西的教程。我需要他们的经验和判断力来帮助我制定解决方案，但我不想付给他们一千美元来告诉我我可以在实践法中找到的东西。” Contents 核对表:执行数据安全风险评估清单........................................................................................................................................5实践说明：制定隐私合规计划...................................................................................................................................13 执行数据安全风险评估清单 实用法律连接数据隐私和网络安全 截至2023年5月23日提供的资源。请参见活的、维护的资源在实践法中进行后续修改。蓝色文本链接导致有关实用法的相关资源和权威来源。 清单概述了计划和执行数据安全风险评估时要采取的关键步骤。它解决了联邦和州法律，行业标准和最佳实践中的数据安全风险评估要求，例如Gramm-Leach-Bliley法案（GLBA）保障规则，健康保险流通和责任法案（HIPAA）安全规则，保护个人信息的州数据安全法，联邦和州监管机构对合理数据安全措施的期望，以及NIST网络安全框架。.本清单旨在与实践说明、数据安全风险评估和报告一起使用。 Contents •确定法律和其他义务 -审查联邦和州保护指南个人信息-考虑特定部门的要求-审查上市公司义务-识别商业秘密或其他内部或专有信息-审查和选择适用的行业标准 确定法律和其他义务 考虑组织是否： •收集和使用客户或员工的个人信息（请参阅《联邦和州保护个人信息指南》）。•参与被视为高风险或关键基础设施的行业部门（请参阅考虑部门特定要求）。•作为上市公司提供证券(见审查上市公司义务)。•需要保护自己的商业秘密或其他内部或专有信息（请参阅确定商业秘密或其他内部或专有信息）。•出于各种法律和商业目的，希望证明符合普遍接受的行业标准（请参阅审查和选择适用的行业标准）。 •支持评估前活动 •定义评估时间、范围和方法•收集信息以支持风险识别•识别风险和合规性差距•报告评估结果•采取行动管理已识别的风险和合规性差距•保护敏感风险评估报告•识别并处理风险评估局限性•探索网络安全信息的好处共享 数据隐私的实用法律连接 -州一级的审查（例如，请参阅《纽约州金融服务部（NYDFS）网络安全法规》（23NYCRR500.0至500.23）和《NYDFS网络安全法规》的实践说明）。 •根据合同条款和条件处理其他组织的信息。如果是，请审查合同条款以确定所应用的风险评估要求和标准（例如，客户通常要求的条款，请参阅标准条款，服务提供商安排的数据安全合同条款（支持客户））。 •受国家数据安全义务约束的保险行业被许可方要求进行风险评估（参见实践说明，NAIC模型数据安全法和国家特定实施）。•证券和交易委员会（SEC）对其网络安全实践进行审查的经纪交易商或财务顾问。•符合《健康保险流通和责任法案》(HIPAA)的医疗保健提供者、健康计划或服务提供者，必须根据安全规则进行风险分析（参见实践说明，HIPAA安全规则：概述和管理保障措施）。•根据《家庭教育权利和隐私法案》（FERPA）和越来越多的州法律（请参阅实践说明，学生隐私：教育服务提供商要求），必须合理保护学生信息的教育机构或服务提供商。•关键基础设施的所有者或运营商，必须遵守特定部门的法规，要求其执行数据安全风险评估。有关关键基础设施的更多详细信息，包括特定部门的示例，请参阅实践说明，NIST网络安全框架。 •接受某些形式的付款，包括信用卡、其他支付卡和从银行账户直接付款。 查看支付卡行业数据安全标准（PCIDSS），其中包括广泛的计划评估要求（请参阅实践说明，PCIDSS合规性：PCIDSS验证和评估的类型）；和 -查看NACHA操作规则，该规则为处理自动清算所网络交易设定了信息安全标准。 审查联邦和州关于 保护个人信息 •审查联邦贸易委员会（FTC）的数据安全指导资源和同意法令，了解当前的标准和期望（请参阅实践说明，FTC数据安全标准和执行以及FTC数据安全行动跟踪器）。•考虑州数据安全法是否适用。颁布数据安全法以保护其居民个人信息的州通常要求：-包含风险评估的书面信息安全计划（WISP）（请参阅标准文件，书面信息安全计划（WISP））；或-实施合理和适当的安全措施，通常被理解为包括风险评估（请参阅审查和选择适用的行业标准）。 有关保护个人信息和进行风险评估的法律义务的更多详细信息，请参阅《美国隐私和数据安全法：概述》和《数据安全风险评估和报告：个人信息》。 考虑特定部门的要求 考虑组织是否为，例如： •受以下条件约束的金融机构： -Gramm-Leach-Bliley法案（GLBA），必须根据保障措施规则进行风险评估（请参阅实践说明，GLBA：金融隐私和保障措施规则)；以及 审查上市公司义务 审查和选择适用的行业 标准 •考虑SEC公司财务部2011年指南和2018年2月委员会关于上市公司网络安全披露的声明和指南(83美联储。Reg.8166-01（2月26，2018）），该指南扩展并加强了2011年指南，内容涉及与网络安全风险和事件相关的披露义务，如果该组织是报告公司，必须根据SEC规则和法规披露重大风险。 •审查常用标准，包括： -ISO/IEC27001和ISO/IEC27002，这是国际公认的信息安全计划标准，也为ISO提供了基础认证（见ISO：ISO/IEC27001信息安全管理）-COBIT®，它提供了一套广泛的信息技术（IT）审计控制，以解决信息安全问题（请参阅ISACA：COBIT）-国家标准与技术研究所（NIST）特别出版物（SP）800-53，信息系统和组织的安全和隐私控制，根据2002年《联邦信息安全管理法案》，主要针对联邦机构及其承包商，但提供广泛的普遍适用指南-网络安全中心的关键安全控制®（有关详细信息，请参阅实践说明，网络安全技术基础：关键安全控制：概述）-NIST网络安全框架，将这些标准和其他标准组织成一组关键功能（请参阅实践说明，NIST网络安全框架） •跟踪不断演变的SEC法规。例如，根据2021年宣布的意图，SEC在2022年提出了额外的网络安全披露规则，如果颁布，可能会扩展风险评估和风险上市公司的管理义务(请参阅法律更新，SEC提出增强的网络安全披露规则)。 识别商业秘密或其他内部或 专有信息 •识别组织必须合理保护的商业秘密或其他内部或专有数据，或此类数据的类别。•选择并应用适当的信息安全行业标准，以帮助证明组织采取了合理的步骤来保密（请参阅审查和选择适用的行业标准）。•有关联邦和州法律下的商业秘密保护要求的更多信息，请参阅实践说明，知识产权：概述：商业秘密。 数据隐私的实用法律连接 每年进行一次评估，以帮助确定估计已识别风险可能被利用的可能性的时间框架（请参阅识别风险和合规性差距）。 •选择一个或多个标准来评估组织信息安全计划的有效性和潜在风险。 •考虑将识别的风险和结果分类或映射到选定的标准（请参阅报告评估结果）。 •将风险评估的审查范围定义为: 有关更多讨论，请参阅实践说明，数据安全风险评估和报告：公认的行业标准。 -遵守法律和其他义务（请参阅确定法律和其他义务）-帮助避免差距-防止将有针对性的审查误认为是对组织总风险的评估 支持评估前活动 •根据以下条件选择评估方法: -风险评估目标 •确定并处理与风险评估相关的法律和其他义务（请参阅确定法律和其他义务）。 -组织的文化 •确定如何最好地保护任何由此产生的敏感风险评估报告（请参阅保护敏感风险评估报告）。 -可用资源 •考虑是否采用以下一种或多种风险评估方法： •协助组织的信息安全协调员： -审核和认证 -确定并吸引利益相关者，他们可以帮助收集风险评估信息并管理已识别的任何技术或非技术风险-确定向组织领导报告结果的适当渠道-寻求高管赞助，以帮助确定评估结果的优先级 -自我评估 -渗透试验 -漏洞扫描 -资产扫描 有关常见利益相关者的更多讨论和示例，请参阅实践说明，数据安全风险评估和报告：预评估活动。 -持续监测 •记录为任何特定风险评估选择的时间、范围和方法以及评估结果（见报告评估结果）。 定义评估时间、范围和方法 有关定义数据安全风险评估的时间、范围和方法的更多详细信息，请参阅实践说明、数据安全风险评估和报告：定义时间、范围和方法和框、常见的数据安全风险评估形式。 •确定风险评估的时机。例如，考虑进行： -根据适用法律、法规和标准的要求，经常进行全面的风险评估，但至少每年进行一次-当业务流程、系统或组织收集和使用的数据发生重大变化或增加时，有针对性的评估-事件后审查，可以扩展到更广泛的针对性评估，作为组织的网络事件响应计划的一部分（请参阅标准文件，网络事件响应计划（IRP）：6.7事件后审查）•通过使用任何选定的评估计时周期（如执行）来创建一致性并简化报告 识别风险和合规性差距 收集信息以支持风险识别 •通过识别和组合以下关键要素来定义风险并确定其优先级： -威胁，通常被认为是可能对组织的IT或运营技术(OT)资产或数据产生不利影响的任何情况或事件-漏洞，是组织或其IT或OT资产中的弱点或其他条件，威胁行为者可能会利用这些漏洞或条件对数据安全性产生不利影响-特定威胁可能发生的可能性或威胁行为者可能在特定时间范围内利用一个或多个漏洞的可能性，或几乎肯定会发生的事件的频率-特定事件的潜在影响•有关定义风险及其关键要素的详细指导，请参阅实践说明、数据安全风险评估和报告：评估数据安全风险的关键概念。 -面试关键人物 -收集当前的技术配置和其他系统详细信息 -记录防护测试结果 -运行自动扫描 •对于服务提供商评估： -分发问卷或其他自我评估工具 -收集独立审核或认证结果 考虑共同的风险领域，包括： -收集作为关系的一部分提供的事件报告 -未能使用多因素身份验证或延迟删除被终止员工的访问权限-默认服务器或其他设备配置，包括不必要的服务或供应商提供的密码-无法及时安装当前操作系统或其他软件更新-不安全的工作区-使用未加密的笔记本电脑或其他移动设备来存储个人信息-未能限制需要了解的员工访问客户信息 •对于员工风险和合规性审查： -收集培训记录 -审查合规管理活动产生的报告 -根据当地法律或劳工协议可能设定的任何限制，测试个人当前的安全意识和合规性，例如，网络钓鱼易感性 •在所有情况下，收集信息以了解： -可以访问系统和数据的个人或团体，包括其访问程度和数据使用能力-适用的网络架构，包括集成点和通信路径 •有关收集信息以支持数据安全风险评估的更多指导，请参阅实践说明， 数据隐私的实用法律连接 •通过以下方式提供更全面的风险评估： •对风险和合规性差距进行分类，以帮助简化报告和计划管理，例如，基于： -将组织的绩效与适用的法律、法规或普遍接受的行业标准进行比较（请参阅审查和选择适用的行业标准）-考虑服务