等保门户网: 政策标准 > 法律法规

SP800-53第四版有关隐私保护控制介绍

来源:admin 发布日期:2018-09-21

SP800-53简介
《SP800-53联邦信息系统和机构的安全和隐私控制》是较早被我国翻译和参考使用的联邦特别出版物文件,它采用的分等级的安全控制措施曾经作为美国联邦政府安全保护的基线,我国信息安全等级保护的基本要求也从SP800-53得到借鉴。
根据《联邦信息安全现代化法案》( FISMA )的规定,这些控制措施的使用是强制性的,该法案要求开发和维护最低限度的控制措施(基线),以保护联邦信息和信息系统。这些控制可以在处理、存储或传输信息的任何组织或信息系统中实现。SP800-53旨在帮助组织管理风险,并满足FISMA、1974年隐私法、OMB政策(例如OMB通告A - 130 )和指定的联邦信息处理标准中的安全和隐私要求。
SP800-53提供了联邦信息系统和组织的安全和隐私控制目录,以保护联邦机构运营和资产、个人、其他组织和国家免受各种威胁,例如敌对攻击、自然灾害、结构故障、人为错误和隐私风险。这些控制是灵活和可定制的,作为全组织风险管理流程的一部分,满足了来自任务和业务需求、法律、行政命令、指令、条例、政策、标准和准则的各种要求。SP800-53在NIST联邦风险管理框架中的地位如下图所示:
图6-X 联邦风险管理框架
SP800-53提供了必要的安全控制选择和规范的相关信息,给出了低影响、中等影响和高影响信息系统的基线安全控制。从2013年正式出版的第四版开始,SP800-53更名为“联邦信息系统和机构的安全和隐私控制”,并增加了8个隐私保护控制族。
SP800-53第四版包括了18个安全控制族和8个隐私保护控制族,每个族都包含与族的安全主题相关的安全控制,以双字符标识符唯一标识。18个安全控制族为访问控制(AC)、意识教育和培训(AT)、审计和问责(AU)、安全评估和授权(CA)、配置管理(CM)、标识和鉴别(IA)、事件响应(IR)、运维(MA)、介质保护(MP)、物理和环境保护(PE)、规划(PL)、人员安全(PS)、风险评估(RA)、系统和服务采购(SA)、系统和通信保护(SC)、系统和数据完整性(SI)以及项目管理(PM)。安全控制可能涉及政策、监督、手动过程、个人活动或信息系统/设备实施的自动化机制等方面。8个隐私保护控制族分别为授权和目的(AP)、问责、审计和风险管理(AR)、数据质量和完整性(DI)、数据最小化和保留(DM)、个人参与和信息修正(IP)、安全(SE)、透明度(TR)、使用限制(UL)。
现行版本SP800-53第四版于2013年发布,旨在与NIST联邦风险管理框架一起使用,但2017年第5版修订之后隐私部分不再单独分类,安全控制与隐私控制融合一起,仅为隐私控制单设2个控制族,隐私授权(PA)和个人参与(IP),目的是使SP800-53即可以与联邦风险框架一起使用,也可以与《NIST网络安全框架》一起使用,亦可以与ISO 27001一起使用,并可用于组织机构的任何过程。因此,NIST认为建立了最全面的控制集,拥有无与伦比的广度和深度,并希望为更多人所用。
由于SP800-53第四版中的隐私控制部分更为全面,作者特别加以摘要介绍。
SP800-53第四版有关隐私保护控制的内容摘要
SP800-53第四版中的隐私保护控制基于1974年《隐私保护法》中的《公平信息实践原则》(FIPPs)、2002年《电子政务法》第208节以及管理和预算办公室( OMB )政策。FIPPs旨在建立公众对组织隐私做法的信任,并帮助组织避免隐私事件造成的有形成本和无形损害,共有8个隐私保护控制族,每个族都与其中一个FIPPs保持一致。隐私保护族可以在机构、部门、组件、办公室、项目或信息系统级别实施。下表提供了隐私保护控制目录中按族列出的隐私保护控制摘要:
标识
隐私控制
摘要描述
AP
授权和目的
本族控制要求识别授权特定个人识别信息( PII )收集或隐私影响相关活动的法律依据,并在其通知中说明收集PII的目的。
AP-1
对采集授权
机构确定并记录允许收集、使用、维护和共享个人身份信息( PII )的法律授权,无论是一般性授权还是支持特定计划或信息系统需求的授权。
AP-2
目的规范
机构在其隐私声明中描述了收集、使用、维护和共享个人身份信息( PII   )的目的。
AR
问责、审计和风险管理
本族通过对治理、监控、风险管理和评估的有效控制来增强公众信心,以证明机构遵守了适用的隐私保护要求,并最大限度地降低了总体隐私风险。
AR-1
治理和隐私保护规程
建立隐私保护机构和人员责任制,跟踪相关法律法规,制定隐私保护计划和相关规程并定期更新
AR-2
隐私影响和风险评估
建立隐私风险管理规程,评估收集、共享、存储、传输、使用和处置个人可识别信息( PII )的隐私风险,根据适用法律、OMB政策或机构的政策和程序,进行隐私影响评估( PIAs )
AR-3
对承包商和服务提供商的隐私保护要求
确定承包商和服务提供商的在隐私保护中的角色、责任和访问要求,在合同和其他采购相关文件中明确隐私要求。
AR-4
隐私保护的监测和审计
机构定期监控和审核内部隐私控制和隐私策略
AR-5
隐私保护的意识教育和培训
就隐私责任和相关规程对人员进行全面培训和意识教育
AR-6
隐私保护报告
向管理和预算办公室( OMB )、国会和其他监管机构提交隐私保护报告,并向负责监控隐私计划进展和合规性的高级管理层和其他人员报告。
AR-7
隐私保护增强系统的设计和开发
设计隐私保护增强系统,通过自动化控制支撑隐私保护。
AR-8
统计记录的披露
对在其控制下每个系统保存的信息,记录信息披露日期、性质和目的,被披露人或者机构的姓名或者名称、地址,记录保存五年。
DI
数据质量和完整性
本族控制用于保证由机构收集和维护的任何个人识别信息( PII )的准确性、相关性、及时性和完整性,仅用于公告中规定的用途。
DI-1
数据质量
在收集或创建个人识别信息( PII )时,尽可能确认该信息的准确性、相关性、及时性和完整性
DI-2
数据完整性和数据完整性监督委员会
文档化流程确保通过现有安全控制保障个人识别信息( PII ) 的完整性,酌情设立数据完整性委员会,以监督机构的计算机匹配协议符合《隐私保护法》的计算机匹配条款。
DM
数据最小化和保留
本族可帮助机构实施数据最小化和保留要求,以便仅收集、使用和保留与最初收集目的相关且必要的个人身份信息( PII )
DM-1
个人身份信息的最小化
确定与实现合法授权收集目的相关和必要的最低个人识别信息( PII )要素,且个人已同意。对PII持有量进行初步评估,并定期审查以确保仅收集和保留公告中确定的PII,并且PII仍然是实现法定授权目的所必需的。
DM-2
数据保留和处置
按规定周期保留个人识别信息( PII ),采取措施防止丢失、被盗、误用或未经授权的访问、处置、销毁、擦除和/或匿名PII。使用必要措施确保PII (包括原件、副本和存档记录)的安全删除或销毁。
DM-3
用于测试、训练和研究的PII信息的最小化
.制定策略和规程,减少使用个人识别信息( PII )进行测试、培训和研究,实施控制以保护用于测试、培训和研究的PII。
IP
个人参与和信息修正
本族解决了让个人主动参与收集和使用个人身份信息( PII )决策过程的需要。通过向个人提供对PII的访问,并使他们的PII能够得到适当的纠正或修改,本族控制可增强公众对基于PII做出机构决策的信心。
IP-1
同意
为个人在信息收集之前授权收集、使用、维护和共享个人身份信息提供手段,进行任何新的使用或披露之前,获得个人的同意,
IP-2
个人访问
使个人能够访问系统中保存的个人身份信息( PII ),公布有关规则和条例;在记录通知系统( SORNs )中发布访问程序;遵守隐私法要求以及OMB政策和指南,正确处理《隐私保护法》请求。
IP-3
信息修正
为个人提供程序,使其在适当情况下对不准确的个人身份信息( PII )进行更正或修正,建立向PII的其他授权用户(如外部信息共享合作伙伴)传播PII更正或修正的流程,并在可行和适当的情况下通知受影响的个人其信息已被更正或修正。
IP-4
投诉管理
机构建立相关规程,接收和回应个人对组织隐私保护做法的投诉、关切或问题。
SE
安全
本族控制通过采取技术、物理和行政保障措施,保护组织收集或维护的个人身份信息( PII )免遭丢失、未经授权的访问或披露,并确保隐私事件的处置和响应符合OMB政策和指导。本族控制措施与信息安全人员协调实施,并符合现有的NIST风险管理框架。
SE-1
个人身份信息清单
建立并维护用于收集、使用、维护或共享个人识别信息( PII )的信息系统清单,并定期更新,定期向CIO或信息安全官员提供PII清单,以满足信息系统安全要求和隐私保护要求。
SE-2
隐私泄露事件响应
制定并实施隐私泄露事件应对计划,根据计划对隐私泄露事件提供有组织和有效的响应。
TR
透明度
本族控制确保机构向公众公布他们的信息实践以及他们的计划和活动对隐私保护的影响
TR-1
隐私策略告知
就以下事项向公众和个人发出有效通知:
1.收集、使用、共享、保护、维护和处置个人身份信息( PII )等影响隐私的活动;2.信息收集机构;3.如何使用PII及后果;4.访问PII并在必要时对其进行修改或更正的能力。
TR-2
记录通知系统和《隐私保护法》声明
在联邦登记册中公布包含个人识别信息( PII )系统的记录通知系统( SORNs ),遵守必要的监督程序,维护SORNs更新。在其收集PII的表格上包括《隐私保护法》声明
TR-3
隐私计划信息的传播
确保公众能够获得有关其隐私活动的信息,并能够与其高级隐私机构官员(   SAOP ) /首席隐私官( CPO )进行沟通;确保通过机构网站或其他方式公开其隐私做法。
UL
使用限制
本族确保机构只按照其公告中的规定使用个人识别信息( PII ),或者按照法律允许的其他方式使用。实施本族控制措施确保PII的使用范围受到限制。
UL-1
内部使用
本机构内部使用个人识别信息( PII )仅用于《隐私保护法》和/或公告中确定的授权目的
UL-2
与第三方的信息共享
对外共享个人身份信息( PII ),仅用于《隐私保护法》中确定和/或其通知中描述的授权目的,或用于与这些目的兼容的目的;在适当情况下,与第三方签订谅解备忘录、协议备忘录、意向书、计算机匹配协议或类似协议,专门描述所涵盖的PII,并具体列举PII可用于的目的;监测、审计和培训其工作人员与第三方授权共享PII,以及未经授权使用或共享PII的后果。
作者:公安部信息安全等级保护评估中心 任卫红

【关闭】 【打印】

您是第 38934330 位访问者
沪ICP备 12039260号 京公网安备 11010802025578号