美国国家标准与技术研究所（NIST）为美国联邦机构制定了保护数字身份的规则，但NIST的政策也可能成为其他组织努力保持数字安全前沿的秘密武器。如果你的任务是为你的团队组织和处理敏感数据，你不能忽视新的2019年NIST隐私框架草案。隐私框架建立在广泛采用的NIST网络安全框架之上，它不仅仅是一个需要遵守的政策，它还包括一些重要的收获，可以帮助您的组织更有效地满足其网络安全需求（并将您的技术人才释放到明显推动投资回报率的项目中）。NIST强调，不要将用户隐私视为一种外部性，这是一种独立于核心运营的风险，需要单独处理（例如，在数据泄露之后）。相反，NIST帮助你在组织的设计中建立隐私。这可以显著降低数据丢失和数据泄露的风险，并且可以帮助团队以更可持续的基础进行规模化。在你仔细阅读NIST隐私框架草案全文之前，这篇文章将深入挖掘其基本原理，突出与网络安全框架的重要区别，并为使用隐私框架塑造一个更稳定和成功的企业提供建议。如何接近NIST隐私框架为了实现NIST隐私框架的价值，了解其当前结构非常重要。NIST隐私框架有三个主要部分：核心、概要和实现层。核心：一组活动和成果，用于在整个组织内传达隐私优先事项。你可以使用你的核心快速沟通和计划你的隐私风险策略。个人资料：你想要达到的隐私效果，你可以从隐私框架中选择并根据你的需要进行调整。您可以设计一个识别当前状态的当前概要文件，并构建一个标识目标的目标概要文件。实现层：实现目标的方法。NIST提供了一个范围，从反应性响应到敏捷策略。如果你不是美国联邦机构，NIST不需要严格遵守。相反，它是一种综合性的资源，支持组织对隐私做出更明智和更有价值的决定。与网络安全框架一样，NIST在其隐私指导原则中加入了灵活性，鼓励读者根据自己的具体业务和行业定制其原则。这取决于每个团队定制NIST方法，以实现他们期望的结果。以下是2019年NIST隐私框架草案的五个主要收获，可以在团队规模扩大时为其提供支持。1区分网络安全和隐私，创建一个更强大的平台尽管隐私框架与网络安全框架有一些共同的目标和工具，但NIST将其作为一个独立的文档来创建是有充分理由的。2018年，Ponemon发现，数据隐私的内部问题（包括系统故障、人为错误或疏忽）使公司每项记录的解决成本合计为259美元，而外部网络安全事件的成本为每项记录157美元。网络安全程序在保护数据免受未经授权的活动方面有很大的帮助，但隐私风险正日益嵌入系统架构中。它们产生于团队为完成任务和设定并实现其KPI而进行的定期、授权数据处理和分析。[来源：NIST]对于寻找最强大和最精确的方法来保护数据的团队来说，区分这两种方法并给予每种方法以权重是至关重要的。为此，NIST建议制定单独的隐私政策，专门解决数据处理问题。这在很大程度上有助于减少授权员工的错误、对客户的负面影响以及对公司健康的不利影响。2构建使您能够控制数据的系统（并将其用于您的优势）控制敏感数据，如用户凭据或客户的财务信息，对于当今的任何团队来说都是必不可少的。然而，随着团队信息量的增长和变得更加复杂，制定明确的策略来实现这一点可能是一个挑战。此外，数据控制会在团队中造成紧张。由于数据通常分布在整个公司中，数据控制通常需要来自多个部门的输入，每个部门都可以独立地设置和执行其策略。为了帮助简化流程，NIST要求提高隐私做法的透明度，这是许多公司所缺乏的。根据NIST的说法，通过默默无闻来加强隐私是很常见的。这包括调度数据以进行自动删除或使用加密技术，使组织本身难以访问数据。默默无闻可能会给予一定程度的隐私，但它也会限制您向用户通报信息和主动响应的能力。像Auth0的仪表板这样的解决方案可以帮助您打开这个过程。团队成员可以查看（实时和历史地）谁在访问和使用数据集。此外，仪表板管理员可以很容易地管理用户帐户的权限并为任何给定的租户配置它。这种清晰和易用性降低了数据丢失的风险，确保只有那些有权移动或操作信息的人才能这样做。虽然隐私框架草案中的许多章节都是从NIST先前的网络安全框架中提取出来的，但它强调让团队中的每个人都了解数据控制和数据隐私过程，这是一个新的概念。根据NIST的说法，让员工了解这些信息是至关重要的。这样做有助于在组织内部建立责任感。例如，在系统遭到破坏或数据丢失的情况下，谁负责保护信息的安全就变得很清楚了。此外，它有助于暴露团队可以迅速修复的漏洞。三。从行业层面考虑制定全面的隐私政策在数据方面，企业和用户之间的中介数量可能令人目不暇接。一个组织可能会使用多个云服务进行存储，使用多个客户智能工具来通知推广，以及使用大量数据分析工具来塑造用户入职。即使是一个简单的登录页面也可能依赖于Facebook广告的流量、Hotjar的用户反馈、Mailchimp的电子邮件地址收集以及Amazon Web Services（AWS）的按需服务器弹性。NIST强调，各机构在制定隐私政策时，必须考虑这些外部关系，或者定期对数据进行风险暴露。此外，NIST还希望团队能够考虑与合作伙伴共享哪些信息，并在更广泛的范围内将风险管理概念化。例如，一个企业可能是其他企业的服务提供商，向个人客户提供产品，并与监管机构合作。关注隐私的团队必须从上到下考虑整个利益相关者的隐私需求和要求，如下图所示。[来源：NIST]商业领袖可以使用NIST的建议来确定他们希望合作伙伴提出的隐私要求，并编写合同，对其进行编纂和实施。为了巩固这些要求，NIST建议定期与第三方沟通，向合作伙伴展示如何验证和验证这些要求。4设计应对计划以减少声誉损失黑客现在运作的规模和精确性意味着每个组织都需要为黑客攻击或入侵做计划——不管他们的规模大小，或者他们当前的安全系统有多全面。即使是刚刚开始捕捉和存储用户数据的初创公司也必须牢记这一点。此外，应对计划必须经过深思熟虑和周密。根据NIST的说法，应对计划应该包括内部和外部的利益相关者，比如执法部门和专门从事网络安全的律师。NIST强烈建议加入通知系统，使团队能够迅速采取行动，缓解和遏制隐私问题。对于任何安全团队来说，这都是一项艰巨的任务——然而，您的响应越快、越准确，您在用户面前的印象就越深刻。2018年，Ponemon发现，具有明确事件响应（IR）协议的团队能够将数据泄露的成本降低14美元/记录，从而导致调整后的成本为134美元/记录，而148美元/记录。再乘以数千甚至数百万的用户，这些成本节约很快就会累积起来。另一方面，如果你行动迟缓、不透明，你可能很快失去客户的信任，并面临额外的罚款。例如，加州消费者隐私法案（CCPA）将对每一次侵犯隐私行为处以最高7500美元的罚款。此外，CCPA允许个人对任何违反其"非加密或未经编辑的个人信息"的行为提起诉讼，无论他们是否受到损害。隐私问题可能非常复杂，但你的反应不一定非得如此。例如，实现像Auth0的破解密码通知这样的工具，可以让您获得立即检测威胁所需的洞察力，以及采取行动的能力。如果用户的密码因数据泄露或被盗，Auth0将立即通知您。一旦你得到通知，你也可以通知你的用户。这凸显了你的技能，也强化了你对同事的关心程度。5优先考虑身份管理，以便无需担心地进行扩展NIST隐私框架特别强调身份管理。如果您的业务涉及处理数据，那么身份验证和授权访问正确的个人的能力是基本的。根据NIST，组织应该能够发布