所有收集歐盟(EU)國(guó)家公民數(shù)據(jù)的企業(yè)，將必須在明年正式執(zhí)行有關(guān)用戶數(shù)據(jù)保護(hù)的嚴(yán)格新規(guī)——《通用數(shù)據(jù)保護(hù)規(guī)范》(GDPR)。GDPR的目標(biāo)是保護(hù)歐盟公民免受隱私和數(shù)據(jù)泄露的影響，同時(shí)重塑歐盟的組織機(jī)構(gòu)處理隱私和數(shù)據(jù)保護(hù)的方式。

[[216683]]

2018年5月25日，GDPR將正式生效，并取代當(dāng)前的數(shù)據(jù)保護(hù)指令(DPD)。該規(guī)范比指令更有力，因?yàn)樗恍枰擅總€(gè)成員國(guó)單獨(dú)采用。相反，自生效之日起，所有成員國(guó)的法規(guī)將立即適用于法律。

新規(guī)的出現(xiàn)為企業(yè)安全團(tuán)隊(duì)帶來(lái)了一些擔(dān)憂，同時(shí)也帶來(lái)了一些新的期待。例如，GDPR對(duì)個(gè)人信息的保護(hù)及其監(jiān)管達(dá)到了前所未有的高度，同時(shí)也擴(kuò)大了對(duì)于用戶個(gè)人數(shù)據(jù)的定義，企業(yè)必須將用戶個(gè)人的IP地址或cookie數(shù)據(jù)等信息置于和其他用戶機(jī)密數(shù)據(jù)(姓名、地址以及社會(huì)安全號(hào)碼等)相同的保護(hù)等級(jí)。

不過(guò)，GDPR也留下了許多解釋空間。例如，它指出，公司必須為個(gè)人數(shù)據(jù)提供“合理”的保護(hù)等級(jí)，但是卻并未明確界定“合理”的標(biāo)準(zhǔn)。如此一來(lái)，在涉及評(píng)估數(shù)據(jù)違規(guī)和違規(guī)罰款的問(wèn)題時(shí)，就為GDPR管理機(jī)構(gòu)留出了很大的解釋余地。

目前，為了強(qiáng)化企業(yè)員工對(duì)GDPR新規(guī)的了解，許多企業(yè)的首席安全官(CSO)已經(jīng)編寫(xiě)了“企業(yè)需要了解的GDPR新規(guī)內(nèi)容”以及關(guān)于如何滿足其要求的建議。雖然新規(guī)中的許多要求并不直接涉及信息安全，但是新規(guī)對(duì)于安全流程和系統(tǒng)的要求可能會(huì)對(duì)企業(yè)現(xiàn)有的安全系統(tǒng)和協(xié)議產(chǎn)生一定的影響。

什么是GDPR?

歐盟議會(huì)于2016年4月通過(guò)了GDPR新規(guī)，用于取代1995年發(fā)布的過(guò)時(shí)的數(shù)據(jù)保護(hù)指令(DPD)。新的指令完全更新了歐盟成員國(guó)以及任何與歐盟各國(guó)進(jìn)行交易或持有公民(歐洲經(jīng)濟(jì)區(qū)公民)數(shù)據(jù)的公司必須存儲(chǔ)安全和管理個(gè)人數(shù)據(jù)的方式。

此外，GDPR新規(guī)是在28個(gè)歐盟成員國(guó)統(tǒng)一實(shí)施生效的，這將使28個(gè)歐盟及歐洲經(jīng)濟(jì)共同體成員國(guó)的隱私保護(hù)法更具有一致性和現(xiàn)代性。但是，GDPR的合規(guī)要求是相當(dāng)高的，需要大多數(shù)企業(yè)投入大量的人力、財(cái)力才能得以實(shí)現(xiàn)。

根據(jù)Ovum公司提供的調(diào)查報(bào)告顯示，52%的受訪IT決策者預(yù)計(jì)GDPR將會(huì)“導(dǎo)致他們公司受到罰款”;三分之二的受訪者認(rèn)為這將“迫使他們改變歐洲業(yè)務(wù)戰(zhàn)略”;超過(guò)70%的受訪者預(yù)計(jì)會(huì)增加開(kāi)支來(lái)滿足數(shù)據(jù)保護(hù)要求，同時(shí)，超過(guò)30%的受訪者預(yù)計(jì)在未來(lái)兩年預(yù)算將會(huì)增加超過(guò)10%;甚至有高達(dá)85%的受訪者認(rèn)為GDPR將使其在與歐盟公司的競(jìng)爭(zhēng)中處于劣勢(shì)。

GDPR新規(guī)將影響哪些企業(yè)?

任何存儲(chǔ)或處理歐盟國(guó)家內(nèi)有關(guān)歐盟公民個(gè)人信息的公司，即使在歐盟境內(nèi)沒(méi)有業(yè)務(wù)存在，也必須遵守GDPR。有關(guān)必須遵守GDPR新規(guī)的公司的具體標(biāo)準(zhǔn)如下所示：

• 在歐盟境內(nèi)擁有業(yè)務(wù);
• 在歐盟境內(nèi)沒(méi)有業(yè)務(wù)，但是存儲(chǔ)或處理歐盟公民的個(gè)人信息;
• 超過(guò)250名員工;
• 少于250名員工，但是其數(shù)據(jù)處理方式影響數(shù)據(jù)主體的權(quán)利和隱私，或是包含某些類型的敏感個(gè)人數(shù)據(jù)。

這也就意味著，GDPR新規(guī)幾乎適用于所有的公司。普華永道提供的調(diào)查結(jié)果顯示，92%的美國(guó)公司認(rèn)為GDPR將成為最重要的數(shù)據(jù)保護(hù)措施。

GDPR新規(guī)截止實(shí)施時(shí)間?

公司必須在2018年5月25日之前遵守GDPR新規(guī)要求。

組織是否必須指定數(shù)據(jù)保護(hù)人員遵守GDPR?

GDPR引入了具體術(shù)語(yǔ)來(lái)定義組織內(nèi)的角色和責(zé)任，包括數(shù)據(jù)控制員(Data controller)、數(shù)據(jù)處理員(Data processor)以及數(shù)據(jù)保護(hù)員(Data Protection Officer，簡(jiǎn)稱DPO)。其中數(shù)據(jù)控制員(Data controller)定義了個(gè)人數(shù)據(jù)的處理方式和目的，此外，控制員還負(fù)責(zé)確保外部承包商能夠遵守相關(guān)規(guī)定。

數(shù)據(jù)處理員(Data processor)可以是維護(hù)和處理個(gè)人數(shù)據(jù)記錄的內(nèi)部團(tuán)體(如業(yè)務(wù)分析師或開(kāi)發(fā)商的直接雇員)，也可以是執(zhí)行全部或部分這些活動(dòng)的任何外部服務(wù)提供商(如信用評(píng)級(jí)機(jī)構(gòu)等)。

GDPR新規(guī)要求數(shù)據(jù)處理員為違規(guī)和不遵守規(guī)定的行為負(fù)責(zé)。那么也就是說(shuō)，即便事故責(zé)任完全在負(fù)責(zé)數(shù)據(jù)處理的合作伙伴一方(如云服務(wù)提供商)，你的公司和該合作伙伴也可能會(huì)同時(shí)受到處罰。

此外，GDPR還要求控制員和處理員指定一個(gè)數(shù)據(jù)保護(hù)員(DPO)來(lái)監(jiān)管數(shù)據(jù)安全策略和GDPR合規(guī)性。核心活動(dòng)涉及處理或存儲(chǔ)大量的歐盟公民數(shù)據(jù)、處理或存儲(chǔ)特殊類別的個(gè)人數(shù)據(jù)(健康記錄、犯罪記錄)的組織必須指定名DPO。DPO主要負(fù)責(zé)就GDPR規(guī)定提供咨詢意見(jiàn)，向最高管理層報(bào)告。

完成GDPR合規(guī)要求所需成本?

根據(jù)普華永道的調(diào)查數(shù)據(jù)顯示，68%的美國(guó)公司預(yù)計(jì)將花費(fèi)100萬(wàn)到1000萬(wàn)美元的投入來(lái)滿足GDPR的合規(guī)性要求;另有9%的企業(yè)預(yù)計(jì)將花費(fèi)超過(guò)1000萬(wàn)美元。

如果企業(yè)沒(méi)有滿足GDPR的合規(guī)性要求將導(dǎo)致什么后果?

每一單GDPR違規(guī)行為將受到高達(dá)2000萬(wàn)歐元的嚴(yán)重處罰，或者上一年全球年?duì)I業(yè)額的4%，以較高者為準(zhǔn)。根據(jù)Ovum公司提供的調(diào)查報(bào)告顯示，52%的受訪IT決策者預(yù)計(jì)他們會(huì)因?yàn)檫`規(guī)行為而面臨罰款。管理咨詢公司奧利弗·懷曼(Oliver Wyman)預(yù)測(cè)，歐盟在第一年可能會(huì)收到高達(dá)60億美元的罰款金額。

目前，一個(gè)懸而未決的問(wèn)題是如何對(duì)懲罰進(jìn)行評(píng)估。例如，一個(gè)對(duì)個(gè)人影響最小的違規(guī)行為，和一個(gè)因暴露個(gè)人識(shí)別信息(PII)而對(duì)個(gè)人造成實(shí)際損失的違規(guī)行為之間的懲罰力度是否存在區(qū)別?目前，普遍認(rèn)知的見(jiàn)解是，監(jiān)管部門(mén)將迅速對(duì)一些早期發(fā)現(xiàn)不合規(guī)的企業(yè)采取行動(dòng)發(fā)出一份不合規(guī)信息通知。然后，組織就能夠更好地評(píng)估一旦發(fā)生不合規(guī)的情況會(huì)產(chǎn)生什么后果。

哪些類型的隱私數(shù)據(jù)將受到GDPR保護(hù)?

• 基本的身份信息，如姓名、地址和身份證號(hào)碼等;
• 網(wǎng)絡(luò)數(shù)據(jù)，如位置、IP地址、Cookie數(shù)據(jù)和RFID標(biāo)簽等;
• 醫(yī)療保健和遺傳數(shù)據(jù);
• 生物識(shí)別數(shù)據(jù)，如指紋、虹膜等;
• 種族或民族數(shù)據(jù);
• 政治觀點(diǎn);
• 性取向。

GDPR的哪些合規(guī)要求將影響你的公司?

GDPR的合規(guī)要求將迫使美國(guó)企業(yè)改變他們處理、存儲(chǔ)和保護(hù)用戶個(gè)人數(shù)據(jù)的方式。例如，根據(jù)GDPR的要求，組織在要求個(gè)人資料時(shí)將被要求使用“簡(jiǎn)明語(yǔ)言”，并且必須提供有關(guān)它們?nèi)绾翁幚淼男畔?。他們必須說(shuō)出他們是誰(shuí)，他們?yōu)槭裁匆幚頂?shù)據(jù)，誰(shuí)接收到它，以及它將被存儲(chǔ)多長(zhǎng)時(shí)間。他們必須讓個(gè)人明確，并肯定地同意處理數(shù)據(jù)。

此外，GDPR還要求數(shù)據(jù)管理員采取合理步驟，確保參與數(shù)據(jù)共享的第三方刪除，擴(kuò)大了被刪除的權(quán)利。這一項(xiàng)也被稱為“被遺忘的權(quán)利”。

有幾項(xiàng)合規(guī)要求還將對(duì)企業(yè)的安全團(tuán)隊(duì)產(chǎn)生直接影響。其一就是公司必須能夠?yàn)闅W盟公民提供“合理的”數(shù)據(jù)安全和隱私保護(hù)，但是對(duì)于“合理的”具體標(biāo)準(zhǔn)，GDPR并沒(méi)有進(jìn)行明確規(guī)定。

而對(duì)于企業(yè)來(lái)說(shuō)，其中最具挑戰(zhàn)性的合規(guī)要求應(yīng)該是，公司必須在發(fā)現(xiàn)違規(guī)事件的72小時(shí)內(nèi)，向監(jiān)管當(dāng)局和受到違規(guī)事件影響的個(gè)人通報(bào)數(shù)據(jù)違規(guī)行為。執(zhí)行影響評(píng)估的另一個(gè)要求是，通過(guò)識(shí)別漏洞以及制定漏洞解決方案來(lái)幫助減輕漏洞導(dǎo)致的安全風(fēng)險(xiǎn)。

一個(gè)成功的GDPR項(xiàng)目是什么樣的?

提到GDPR新規(guī)對(duì)企業(yè)的影響，沒(méi)有比ADP(美國(guó)自動(dòng)數(shù)據(jù)處理公司)更有發(fā)言權(quán)的公司存在了!該公司為全球超過(guò)65萬(wàn)家公司提供基于云計(jì)算的人力資本管理(HCM)和業(yè)務(wù)外包服務(wù)，ADP持有全球數(shù)百萬(wàn)用戶的個(gè)人身份信息(PII)，所以其用戶非常期待ADP公司能夠符合GDPR的合規(guī)要求。如果發(fā)現(xiàn)ADP沒(méi)有符合GDPR標(biāo)準(zhǔn)，那么該公司損失的不僅是高達(dá)2000萬(wàn)歐元，或上年度全球年?duì)I業(yè)額4%的高額罰款，還將承擔(dān)失去客戶信任的風(fēng)險(xiǎn)。

ADP在全球的業(yè)務(wù)重點(diǎn)和規(guī)模一定程序上也成為其更快、更好的適應(yīng)GDPR新規(guī)的優(yōu)勢(shì)。它很好地遵守并實(shí)踐了現(xiàn)有的隱私和安全規(guī)定，所以適應(yīng)GDPR的合規(guī)要求并不是難事。ADP首席隱私官Cecile Georges表示，“我們非常熟悉歐洲現(xiàn)行的隱私法，所以對(duì)于GDPR新規(guī)我們也不會(huì)無(wú)所適從。GDPR新規(guī)觸發(fā)了我們作為一家企業(yè)，同時(shí)作為一個(gè)服務(wù)提供商的使命感，我們需要遵守GDPR新規(guī)來(lái)為我們的客戶提供更好地服務(wù)支持和保護(hù)。”

雖然，ADP公司為GDPR新規(guī)的實(shí)施付出了比其他很多公司更多的準(zhǔn)備，但是不得不承認(rèn)，GDPR項(xiàng)目是一項(xiàng)巨大的、全球性的工程，它大約開(kāi)始于一年前(2016年通過(guò))，但是它是基于早期安全隱私指令基礎(chǔ)上的項(xiàng)目。Georges表示，“其實(shí)我們甚至早在GDPR新規(guī)討論之前就已經(jīng)開(kāi)始實(shí)踐其中的一些規(guī)定了，我們?cè)缭趲啄昵熬烷_(kāi)始對(duì)新產(chǎn)品進(jìn)行了數(shù)據(jù)流映射和隱私評(píng)估工作。”

Georges認(rèn)為，早期階段進(jìn)行的數(shù)據(jù)流映射工作是非常關(guān)鍵的。她說(shuō)，“如果很久以前我們沒(méi)有啟動(dòng)數(shù)據(jù)流映射，那么我現(xiàn)在就不會(huì)如此自信了，數(shù)據(jù)流映射需要做產(chǎn)品清單，而處理PII對(duì)于數(shù)據(jù)保護(hù)影響評(píng)估而言是第一步。此外，我們還通過(guò)為開(kāi)發(fā)人員提供培訓(xùn)來(lái)實(shí)現(xiàn)新產(chǎn)品的‘隱私設(shè)計(jì)’要求。”

ADP公司在GDPR項(xiàng)目上取得的成功吸引了全球各地眾多企業(yè)的關(guān)注。Georges表示，“GDPR不僅僅是一個(gè)純粹的隱私或合規(guī)項(xiàng)目，它實(shí)際上是涉及整個(gè)組織的一個(gè)事情，我們正在與整個(gè)公司的項(xiàng)目經(jīng)理進(jìn)行協(xié)調(diào)，以確保正確的流程能夠在我們整個(gè)組織內(nèi)部實(shí)現(xiàn)完美運(yùn)作。”

目前，ADP公司已經(jīng)實(shí)施了保護(hù)個(gè)人身份信息(PII)的機(jī)制，如加密。Georges說(shuō)：“從安全角度來(lái)看，我們得出的結(jié)論是，需要更多的是與客戶溝通，確保他們正確地了解我們正在做的事情。”

由于ADP是其他公司的“數(shù)據(jù)處理器(data processor)”，所以它已經(jīng)采取了一個(gè)可選步驟來(lái)定義關(guān)于保護(hù)PII的結(jié)合公司規(guī)則(binding corporate rules)。

Georges表示，“像其他合規(guī)項(xiàng)目一樣，我們將按時(shí)完成并遵守GDPR的各項(xiàng)要求。對(duì)于這一點(diǎn)，我們的客戶也應(yīng)該有一個(gè)清楚的認(rèn)知。事實(shí)上，我們已經(jīng)申請(qǐng)了具有約束力的結(jié)合公司規(guī)則，雖然這一點(diǎn)并不在GDPR的要求之內(nèi)，但是我們希望我們的客戶明白，我們想要讓他們的生活更加輕松安全，我們希望能夠保護(hù)他們的個(gè)人數(shù)據(jù)，以達(dá)到歐盟監(jiān)管機(jī)構(gòu)所期待的標(biāo)準(zhǔn)。”

Georges表示，她聽(tīng)到有些企業(yè)還沒(méi)有按照GDPR合規(guī)要求做好準(zhǔn)備。

此外，她還鼓勵(lì)公司采取一個(gè)適合自己的操作方式。

為實(shí)現(xiàn)GDPR合規(guī)要求，企業(yè)需要怎么做?

1. 樹(shù)立來(lái)自最高管理層的緊迫感

風(fēng)險(xiǎn)管理公司Marsh強(qiáng)調(diào)了執(zhí)行領(lǐng)導(dǎo)層重視網(wǎng)絡(luò)準(zhǔn)備的重要性，遵守全球數(shù)據(jù)衛(wèi)生標(biāo)準(zhǔn)是準(zhǔn)備工作的一部分。

2. 號(hào)召所有的利益相關(guān)者

僅靠IT人員是無(wú)法實(shí)現(xiàn)GDPR合規(guī)要求的。公司可以啟動(dòng)一個(gè)工作小組，號(hào)召市場(chǎng)營(yíng)銷、財(cái)務(wù)、銷售、運(yùn)營(yíng)以及企業(yè)內(nèi)所有涉及收集、分析和以其他方式利用客戶個(gè)人身份信息(PII)的人員參與其中。通過(guò)成立GDPR工作小組，他們可以更好地為那些實(shí)施技術(shù)和程序變革的人員提供所需的信息，同時(shí)也可以更好地處理任何會(huì)對(duì)其團(tuán)隊(duì)產(chǎn)生影響的事件。

3. 進(jìn)行風(fēng)險(xiǎn)評(píng)估

你需要了解自己公司存儲(chǔ)和處理的歐盟公民數(shù)據(jù)，以及圍繞其的安全風(fēng)險(xiǎn)。但記住，除此以外，風(fēng)險(xiǎn)評(píng)估還必須囊括為減輕風(fēng)險(xiǎn)所采取的措施。該評(píng)估過(guò)程的一個(gè)關(guān)鍵任務(wù)就是揭開(kāi)可能收集和存儲(chǔ)個(gè)人識(shí)別信息(PII)的所有影子IT(shadow IT，即在企業(yè)IT部門(mén)以外所發(fā)生的技術(shù)投入和部署，包括個(gè)別員工、團(tuán)隊(duì)和業(yè)務(wù)部門(mén)所采用的云應(yīng)用程序)，因?yàn)橛白覫T可能是造成違規(guī)行為的最大風(fēng)險(xiǎn)。

除此之外，不容忽視的風(fēng)險(xiǎn)還有很多。根據(jù)Snow Software的IT思想領(lǐng)袖兼高級(jí)副總裁Matt Fisher的說(shuō)法，已經(jīng)有超過(guò)39,000個(gè)應(yīng)用程序被用來(lái)存儲(chǔ)個(gè)人數(shù)據(jù)。他表示，“冰山效應(yīng)會(huì)對(duì)組織的GDPR合規(guī)性造成嚴(yán)重的風(fēng)險(xiǎn)，因?yàn)楹芏嗳酥粫?huì)將注意力集中在冰面以上那10%掌握個(gè)人數(shù)據(jù)的應(yīng)用程序上。由于企業(yè)IT團(tuán)隊(duì)對(duì)整個(gè)企業(yè)使用的應(yīng)用程序情況疏于了解，所以他們?nèi)狈?duì)可能威脅到GDPR合規(guī)性的應(yīng)用程序的總體認(rèn)知。”

Fisher繼續(xù)補(bǔ)充道，“開(kāi)始(風(fēng)險(xiǎn)評(píng)估)往往是最難的。第一步，組織必須全面了解其整個(gè)IT基礎(chǔ)設(shè)施，并請(qǐng)點(diǎn)所有的應(yīng)用程序。清點(diǎn)的同時(shí)需要了解哪些應(yīng)用程序能夠處理個(gè)人數(shù)據(jù)，這樣能夠大大縮小評(píng)估項(xiàng)目的范圍，以及在項(xiàng)目上花費(fèi)的時(shí)間成本。如此才能使不可能成為可能。”

4. 雇用或任命一個(gè)數(shù)據(jù)保護(hù)官(DPO)

GDPR規(guī)定擁有250名或以上員工處理敏感數(shù)據(jù)或犯罪記錄的組織必須指定DPO。這根據(jù)他們是否處理敏感數(shù)據(jù)的情況而定，擁有少于250名員工的組織可能也需要指定DPO。那么，如果你的公司內(nèi)已經(jīng)存在了一個(gè)發(fā)揮類似作用的人員，能夠確保PII安全是最好的。否則，你將需要重新聘請(qǐng)一名DPO。根據(jù)企業(yè)自身的情況，DPO可以不要求一定是全職，在這種情況下，企業(yè)就可以選擇一名兼職DPO人員。加上GDPR新規(guī)允許一名DPO同時(shí)為多個(gè)企業(yè)工作，所以聘請(qǐng)一名兼職DPO人員將是一個(gè)很好的選擇。

5. 制定數(shù)據(jù)保護(hù)計(jì)劃

大多數(shù)公司已經(jīng)制定了相關(guān)計(jì)劃，但還是需要對(duì)計(jì)劃進(jìn)行審查和更新，以確保其符合GDPR要求。

6. 不要忘記移動(dòng)設(shè)備

根據(jù)Lookout公司對(duì)IT和安全管理人員的調(diào)查數(shù)據(jù)顯示，64%的員工會(huì)使用移動(dòng)設(shè)備訪問(wèn)客戶、合作伙伴以及員工的個(gè)人識(shí)別信息(PII)。這種行為為GDPR合規(guī)性造成了另一種威脅。例如，81%的受訪者表示，大多數(shù)員工都被允許在辦公設(shè)備(可能是員工自己的設(shè)備)上安裝個(gè)人應(yīng)用程序。如果這些應(yīng)用程序需要訪問(wèn)和存儲(chǔ)個(gè)人識(shí)別信息(PII)，則必須按照GDPR合規(guī)要求進(jìn)行操作。這一過(guò)程是很難控制的，尤其是你需要將員工使用的所有未經(jīng)授權(quán)的應(yīng)用程序都考慮在內(nèi)。

7. 制定一個(gè)匯報(bào)GDPR合規(guī)進(jìn)度的計(jì)劃

Fisher表示，“距離GDPR新規(guī)實(shí)施的日子屈指可數(shù)，組織必須證明它們正在完成‘處理活動(dòng)記錄’(Record of Processing Activities，簡(jiǎn)稱RoPA)——根據(jù)GDPR新規(guī)第30條規(guī)定，組織必須清點(diǎn)存在風(fēng)險(xiǎn)的應(yīng)用程序，避免其成為監(jiān)管機(jī)構(gòu)的目標(biāo)。建立‘處理活動(dòng)記錄’是現(xiàn)階段企業(yè)需要關(guān)注的重點(diǎn)，因?yàn)樗梢詭椭髽I(yè)識(shí)別處理個(gè)人數(shù)據(jù)的具體位置、以及哪些人或程序正在處理這些數(shù)據(jù)，或這些數(shù)據(jù)是如何被處理的。”

8. 實(shí)施降低風(fēng)險(xiǎn)的措施

一旦確定了風(fēng)險(xiǎn)并想要減輕風(fēng)險(xiǎn)，就必須實(shí)施這些安全措施。對(duì)于大多數(shù)公司來(lái)說(shuō)，這意味著需要修改現(xiàn)有的風(fēng)險(xiǎn)緩解措施。Fisher表示，“在清點(diǎn)應(yīng)用程序和完成‘處理活動(dòng)記錄’之后，GDPR團(tuán)隊(duì)就能夠發(fā)現(xiàn)和調(diào)查與數(shù)據(jù)相關(guān)的任何風(fēng)險(xiǎn)，并確定保護(hù)這些數(shù)據(jù)所需的適當(dāng)安全級(jí)別。”

9. 如果你的企業(yè)很小，請(qǐng)?jiān)谛枰臅r(shí)候?qū)で髱椭?/strong>