煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
• CONTENT •
「数据共享的定义是什么」
「用户权限复核」
「IAPP证书不续费会咋样」
● 个人信息的具体加密方式
-问:根据35273的规定,对于个人信息和敏感个人信息存储/传输的加密有哪个具体的标准规定了加密方式咩?
-答1:应该和行业有关。
-答2:看看这篇梳理:https://www.anyong.net/industrynews/1875.html。
总结:还要考虑国密算法等要求。
● 数据共享的定义是什么
-问:银行保险机构数据安全管理办法里,“数据共享”的定义,是啥?不知道是否检索有问题,没找到这概念在各个法律法规层面的定义。
-答1:35273里面倒是有共享。
感觉看第29、30条就是对外提供的意思。
但“数据处理,是指对数据的收集、存储、使用、加工、传输、提供、共享、转移、公开、删除、销毁等”。提供竟然和共享都有。
-答2:共享是不是一定是C to C?
-答3:数据共享和转让交易和数据转移,又有啥关系?
-答4:重要数据那个目录里面的共享就不是提供了,这里的还不知道。
总结:行业机构可以直接问金融科技司。
● 用户权限复核
-问:像用户权限复核这类安全要求的落地,如果没有统一权限管理平台,纯靠手动去做的话,除了从系统导出权限让相应上级复核之外,还有没有别的省力的办法?
-答1:没有吧,这是identity access and management平台的意义和商机
-答2:设置权限过期时间,过期提供一键审批功能。
上级是否需要知晓下级有哪些权限(不知道的话,当时授予权限的时候是谁允许谁审批的,这个流程是否合理),如果需要知晓的话,是需要一个平台/入口来呈现的;
如果不需要知晓的话,那这里定义一个统一的权限管理员来操作也是可以的。涵盖了:业务节点(如资产/系统owner)、申请人leader、操作员(自动化的系统一般自动完成授权了,不需要人工介入)。也可以基于权限的等级、资产/系统的敏感性做一些差异化,避免整个链条太长影响效率。
总结:做进系统还是有必要的。
● IAPP证书不续费会咋样
-问:求问CIPPE不想续费,以后做数据合规,会有影响吗?
-答1:招投标这种场景会看有效期。
-追问:如果不续的话,会不会过两年失效后,需要重新考什么的,还是需要时候能gap后接着续。
-答2:买个会员划算,当时粗略算了下,买会员比单个证书续费更划算。
-答3:有见过新能源企业招投标用的。
-答4:可靠渠道又咨询了下,可能过期一段时间内可以补交费用续,具体要求可以联系官方。
-答5:欧美那边很多证书都是要续费……但是我没感觉到这个证书续费有什么意义。
-答6:继续教育的意义,还有收保护费。
-答7:继续教育咯,续费前提是积分够了,积分的重点是很多培训或活动的参与,上面有些主题演讲质量可以的,例如一些AI相关的。
总结:不在乎天长地久,只在乎曾经拥有。
欢迎体验,可用特定关键词搜索历史Q&A,下面1.-5.的每一期都有审计底稿出境的讨论,太准啦!
• END •
关注小号防失联
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...