{ Banner Image }

组装公司'数据泄露应对计划

业务团队无论公司为防止这种情况而进行的认真,认真和努力的工作,都会发生数据泄露。公司管理层,IT团队和外部顾问可以正确地做所有事情,但最终还是要应对违规行为。这意味着,知道(如果不是)发生违规时如何做出最佳响应应该成为每个公司的一部分’的数据保护策略。

我们建议每个公司组建一个安全漏洞小组,该小组由组织内部和外部具有不同技能的人员组成。这可能包括技术人员,以及IT,人力资源,通信,法律部门,外部法律顾问和外部供应商的员工。团队的组成将取决于组织的类型和规模,但是每个成员都应处于适当的位置,并具有使组织能够快速,适当地响应事件的技能。一旦发生事故,团队还必须配备,授权并有权评估事故并立即做出反应。

安全响应团队中的每个人在事件发生之前,之中和之后都应该清楚地了解其角色和职责。制定详细的计划将增加遏制因违反而造成的损害的可能性。包括主要联系人和联系信息的列表将确保该计划立即生效。该计划必须随着时间的流逝而保持,并且应就经常变化的违规响应要求咨询内部或外部法律顾问。

组建违规响应团队和制定计划只是第一步。该计划必须书面,易于访问和实践,以确保在压力下做出有效响应。由于未能保留违规响应计划的纸质副本,许多企业惊讶地发现它不可访问,因为违规影响了公司的计算机系统。桌面违规练习是确保您的团队不会第一次一起执行违规响应的又一个必要步骤,但却经常被遗忘。

在应对数据泄露时,团队应采取措施停止并修复数据泄露,并调查其发生方式和原因。在此过程中,应将事件完整记录下来,并应采取步骤确保信息的机密性。根据违规的性质,执法部门可能能够协助调查。

如果事件影响到企业’操作中,受影响的系统应与其他网络系统隔离,以减轻损害。如果违规行为没有造成持续的损害,最好的措施是密切监视情况,同时可以调查违规行为造成损害的根本原因和程度。在整个过程中,安全响应团队的成员应清楚了解其角色和职责,并与组织内的其他成员保持密切联系和沟通。

在进行违规调查的同时,公司及其安全响应团队必须确定其违规通知要求。每个州都有数据泄露通知要求,具体取决于受影响的个人和受此漏洞影响的信息类型,但是各州的要求有很大差异。一些州可能要求将违规行为报告给代理商或征信机构。一些州还要求受违规行为影响的个人获得某些信息或身份监控服务。

通常,如果事件似乎是恶意的并且涉及犯罪活动,则应向执法部门报告。在某些情况下,根据所涉及公司和行业的类型,必须执行报告。例如,必须由HIPAA覆盖的实体报告违反医疗保健信息的行为。隐私权律师应该是您团队的一部分。该律师可以就需要和推荐哪些通知提供建议。

此外,数据安全漏洞越来越多地导致诉讼。当暴露敏感的消费者或患者信息时,越来越多的集体诉讼针对公司。因此,在发生违规事件时,安全响应团队必须仔细记录他们的调查,以确保证据的质量和在法庭上的可接受性。每个数据泄露事件计划的一部分应该是有关如何保存和保护证据的指南。

对于所有类型和规模的公司而言,数据安全性都日益重要。创建一个详细的计划以解决事件应该如何从头到尾进行补救和调查将大大减轻减轻违规造成的损害。建立一支知识渊博,训练有素且装备精良的安全响应团队来处理事件是任何公司可以准备的第一步,也是最重要的一步。

分类: HIPAA, 新闻, 隐私, 技术

作为福斯特·斯威夫特(Foster Swift)的业务和税务业务团队的成员,泰勒(Taylor)帮助企业和企业主解决和预防问题。他处理业务组建和交易,税务争议,员工福利以及与技术相关的问题。

查看作者的所有帖子›

John以其作为企业家,企业主和经理的实践经验为Foster Swift带来了独特的见解。 他专注于商业,税收,知识产权和娱乐领域。

查看作者的所有帖子›

Type the following characters: foxtrot, mike, sierra, tango, six, hotel

* 表示必填字段。