CTO 遵守 CPRA 网络安全要求的实用指南( 二 )_安全锁|双十一

为此，请遵循三个 i：

识别您的数据
确定您的风险和应对措施
实施安全控制来解决这些问题

识别您的数据为了充分评估您的风险，您显然需要从识别您处理的数据开始。由于 CPRA 将保护数据的义务扩展到与个人相关的任何个人信息，因此个人数据的范围比您通常想象的要大得多。
下面的简短备忘单有助于创建数据清单：
ID.IM-P1：对处理数据的系统/产品/服务进行盘点。
ID.IM-P3：正在处理其数据的个人类别（例如客户、员工或潜在员工、消费者）被列入清单。
ID.IM-P5：数据操作的目的被盘点。
ID.IM-P6：数据操作中的数据元素被清点。
ID.IM-P7：识别数据处理环境（例如地理位置、内部、云、第三方）。
虽然这份备忘单是 NIST 框架下的要求，但它是一个很好的指南，可以帮助您选择要应用的部分和忽略的部分。以上是产生有用输出的最低限度。
初创公司在启动之前识别您的数据很容易，因为实际上没有存储数据，而且大部分数据都保留在原处。
但是，一旦您的运营开始，捕获和识别数据可能是一个挑战。根据我们进行的一项调查，数据发现和分类是 91% 的 CTO 面临的挑战。
识别风险和应对措施完成数据地图后，就该评估风险了。对于如何识别风险没有正式要求，因此您可以自由选择最适合您和您的业务的格式。
为此，请回答以下每个问题：

如果发生风险，对消费者的主要影响是什么？
可能导致风险的主要威胁是什么？
风险来源有哪些？
您如何估计风险严重程度（可忽略不计/有限/显着/最大）？
您如何估计风险的可能性（可忽略不计/有限/显着/最大）？

识别出的风险以旨在降低相关风险的控制形式引发响应。虽然我们将在下一节讨论具体的技术控制，但目前尝试考虑可以降低风险严重性和/或可能性的有效措施。
您的努力结果可以按照以下分类进行分类和记录：
ID.RA-3：识别并记录内部和外部威胁。
ID.RA-P4：有问题的数据操作、可能性和影响用于确定风险并确定其优先级。
ID.RA-P5：识别、优先排序和实施风险响应
实施控制最后，必须根据上一步中确定的风险应对措施实施网络安全措施。这是另一个应至少做的备忘单：
身份管理、身份验证和访问控制
PR.AC-P1：为授权的个人、流程和设备颁发、管理、验证、撤销和审计身份和凭证。
PR.AC-P4：访问权限和授权被管理，结合了最小特权和职责分离的原则。
PR.AC-P5：网络完整性受到保护（例如网络隔离、网络分段）。
数据安全
PR.DS-P1：静态数据受到保护
PR.DS-P2：传输中的数据受到保护。
PR.DS-P4：足够的容量以确保保持可用性。
PR.DS-P5：实施数据泄露保护。
PR.DS-P7：开发和测试环境与生产环境分开。
概括【CTO 遵守 CPRA 网络安全要求的实用指南】这些措施应该为您提供一个整体系统来解决您的网络安全风险。按照 NIST 分类这样做可以让您更加安心，并为您的合规性提供可靠的书面记录。