在 2025 年降低隐私和网络安全风险的低预算、高影响方法

快速阅读: 《JD Supra》消息，近年来，隐私和安全法律变化迅速，如OCPA、GDPR、GLBA和科罗拉多州的人工智能法案。企业需了解适用法律，列出收集的个人信息类别，实施数据保留和删除政策，采用MFA，制定AI政策，并保持隐私声明和网络安全政策的更新。加强员工培训，积极应对隐私和安全挑战。

了解适用的法律 近年来，尤其是在美国，隐私和安全法律发生了巨大变化。许多领导层不确定哪些新法律或更新的法规适用于他们的组织，这并不奇怪。无论是俄勒冈州消费者隐私法案（OCPA）、欧盟通用数据保护条例（GDPR）、格莱姆-利奇-比利法（GLBA）的更新规定，还是科罗拉多州的人工智能法案，一旦企业理解了其要求，就更容易优先处理其努力。

个人信息，而非PII 几乎所有美国人仅凭生日、性别和邮政编码就可以被识别出来。这些数据点，尽管都不被视为“个人可识别信息”（或“PII”），但却是可以与特定个人关联的信息。认识到没有使用PII也能轻易识别个人，术语“个人可识别信息”或PII大多已被放弃。如今，包括立法者和执法官员在内，许多人使用诸如“个人数据”或“个人信息”等术语，他们将其定义为包括能够识别或可能与特定个人关联或链接的信息。个人信息包括直接标识符，如全名或电子邮件地址，以及间接标识符，如Cookie和设备ID。

数据清单 考虑到个人信息的广泛定义，列出组织收集、创建、共享和存储的个人信息类别。从客户、网站访问者、申请人、员工和商业伙伴那里收集了哪些个人信息？保持最新的清单有助于更好地评估风险。在遭遇勒索软件攻击等情况时，这也非常有用。了解哪些类别的个人信息可能涉及网络安全事件，可以帮助企业权衡其选项并确定其义务。

删除。然后重复。 不再需要的个人信息是否已删除，以减少网络安全风险并降低下次数据泄露的成本？是的，不幸的是，这不是一个“如果”，而是一个“何时”！实施数据或记录保留和删除政策可以减少（1）实际成本，如存储成本，以及（2）潜在成本，如提供身份盗用保护给下次数据泄露中涉及的人员的费用。一个好的开始是考虑终止后应保留员工记录多少年。

感恩网络安全和IT领导者 对于每个组织的成功至关重要。但在你最需要他们的时候，他们也可能正在精疲力竭。93%的安全领导者表示，由于高压力和高需求，他们曾考虑过辞职。感谢那些维护企业网络和信息安全的人！减少网络安全和IT团队的人员流动，这些职位可能需要数月才能填补，可以降低风险。

多重身份验证（MFA） 考虑要求员工使用MFA。据微软统计，超过99.9%的被攻破账户没有使用MFA，这使它们容易受到密码喷洒、网络钓鱼和密码重用的攻击。

事件响应计划 一份稳健的事件响应计划（IRP）可以限制风险。如果网络被攻破，领导层将如何沟通？如果发生勒索软件攻击，应该呼叫谁？响应团队是否知道如何使用律师-客户特权和工作成果原则来降低数据泄露诉讼的风险？提前规划可以降低风险和预见的安全事件挑战。

保持隐私声明最新 如果企业在过去一年里没有更新其隐私声明，可能需要进行一次更新。一份外观良好、全面且准确的隐私声明是极好的风险缓解工具。隐私声明顶部较旧的“最后更新日期”可能会表明隐私没有被优先考虑。

制定AI政策 到2024年底，近40%的18至64岁美国人口都在使用生成式人工智能。高达23%的受访者表示他们在前一周至少使用了一次AI进行工作，9%的人每天都使用。员工是否知道规则？实施AI政策是减少员工因违反法律义务而与AI服务分享个人信息风险的好方法，也可以防止企业失去对其业务敏感、机密或专有信息的控制。

录制规则 许多人使用笔记和录音应用来提高生产力。这使许多组织感到不安，担心这种做法可能导致无意中披露机密信息、侵犯隐私以及工作场所信任的丧失。由于许多这些应用由生成式AI驱动，关于录制的规则可以添加到AI政策中。

了解谁有权访问您的信息 考虑编制一份第三方名单，这些第三方（1）有权访问企业信息，或（2）代表企业收集有关客户、员工、申请人和商业伙伴的信息。这份列表可以与数据清单一起编制，包括云服务提供商、营销供应商、商业伙伴、分析公司，甚至招聘服务。与这些第三方的协议是否限制了他们使用企业的信息，并施加了足够的安全控制？

优化模板 根据隐私法律，与第三方交换个人信息的协议应包括关键的隐私和安全条款。企业最近更新其供应商协议或销售合同模板了吗？

隐私影响评估 大多数州的隐私法律都要求完成隐私影响评估（PIA）以处理高风险的信息处理操作。企业是否对客户、员工或申请人的信息进行了可能需要进行PIA的操作？

了解网络安全政策 找到公司的网络安全保险政策。准备开始阅读。在最常见的安全漏洞场景下，该政策实际覆盖了什么？

了解网络安全政策 提高意识 信息保护是全天候的全员参与。所有员工是否有访问培训材料的权限？他们能否识别最大的威胁和风险？他们知道如何正确报告隐私和安全事件吗？

不要让完美成为改善的敌人 隐私和网络安全工作很艰难。随着法律、法规、最佳实践和这些领域的威胁快速变化，很难跟上步伐。在这个领域，最杰出的专业人士也报告有过冒充者综合征，并因不断的变化而感到不堪重负。不要让追求完美阻碍您做出有意义的改进。

(以上内容均由Ai生成)