25年2018月27日。この日を心に留めておきましょう。盛んに議論されている一般データ保護規則(GDPR)が施行される日です。GDPRは、サイバーセキュリティとデータ保護の世界に間違いなく大きな影響を与える、重要かつ広範な法律です。2016年XNUMX月XNUMX日に欧州連合(EU)で可決され、EU域内の個人のデータセキュリティと保護に関する新たな一連の規制を策定しました。
規則の全文は以下から読むことができます。 こちら GDPRの公式ウェブサイトでは、 キーポイント 法案の一部と よくある質問簡単に言えば、GDPRは、ますますデジタル化が進む世界において、EU市民のデータプライバシーに関する規則と規制を刷新することを目的としています。適用範囲は拡大され、より厳しい罰則が定義・適用され、データに関する同意条件も策定されました。
幅広い範囲
重要なのは、この規則はEU市民に適用されますが、EU域内だけに限定されるわけではないということです。実際、この規則は「企業の所在地に関わらず、EU域内に居住するデータ主体の個人データを処理するすべての企業に適用される」とされています。したがって、例えばウェブサイトを通じてEU域内の個人データを扱う組織は、この規則の対象となります。
規制の適用範囲が極めて広範囲であることは明らかですが、組織が留意すべきもう一つの点は、規制違反に対して科される高額な罰金です。制裁は、初回かつ故意ではない違反であれば警告で済む場合もありますが、重大な違反行為の場合は、最高20万ユーロまたは年間売上高の4%のいずれか高い方の罰金が科されることもあります。これは巨額であり、罰金が科せられれば組織は大きな打撃を受ける可能性があります。したがって、組織にとって最善策は、D-Day(25日)前に法令遵守の計画を開始することです。th 2018年XNUMX月)。
コンプライアンス計画の作成
最初のレベル GDPRへの準備 GDPRは評価とレビューが重要です。理想的には、企業は適切なセキュリティ監査を実施し、GDPRの適用範囲を把握し、できるだけ早く、そして確実に導入日までにコンプライアンスを確保するための計画を立てるべきです。データ権限の見直しは、コンテキストアウェアなセキュリティ標準と管理が組織のGDPRコンプライアンスに役立つため、良い第一歩となるでしょう。クラウドベースのアプリケーションの普及に伴い、組織は具体的な要件に応じて管理と権限の実装を開始する必要があります。結局のところ、サイバーセキュリティの脅威への対処において、「万能」なソリューションは通用しないのです。
GDPRの主要目標であるデータ保護は、特権ユーザーの数を減らすことでより容易に達成できます。多くのユーザーが管理権限を持つと、組織はデータ侵害やその他のセキュリティ脅威に対して非常に脆弱になります。アクセス権限を付与する際には、状況に応じて、またユーザーごとに柔軟に対応することが重要です。
続きを読む: サイバーセキュリティとコンプライアンス要件:パート1
セキュリティ管理の実装
同様に、GDPRコンプライアンスは、既存の基本事項に重点を置くことで達成できます。企業は、オンボーディングおよびオフボーディングのプロセスが透明性、効率性、迅速性を備えていることを保証する必要があります。退職した従業員のアクセス権は取り消し、そのための適切なフレームワークを整備する必要があります。ランサムウェアやマルウェアによる攻撃は、デジタルサイネージを通じてハッシュレベルできめ細かなセキュリティ制御を実施することで防ぐことができます。ネットワーク管理者が検討できるその他の対策としては、ファイルや特定のウェブサイトへのアクセスをブロックする、外部デバイスをロックダウンする、企業デバイスへのファイル保存を禁止するなどがあります。また、ユーザーアクセスに関する記録とレポートを保管することも組織にとって不可欠です。追跡、ログ記録、レポート機能があれば、組織はGDPRに準拠していると言えるでしょう。
期限が迫っている今、組織はGDPR遵守を支援するために、Seqriteのようなセキュリティソリューションプロバイダーの活用を検討できます。SeqriteはGDPRリスク評価を提供し、ランサムウェア対策や暗号化などの機能も備えており、組織のガイドライン遵守を支援します。
お客様のビジネスのITセキュリティパートナーとして、 セクライト 高度なサイバー脅威からエンドポイントを包括的に保護します。詳しくは、 ウェブサイト or
