CISSP - Privacy (Tính riêng tư)

Ngoài CIA Triad, khi nói về bảo mật, vẫn còn một số các khái niệm, nguyên lý cần phải nhắc đến, trong đó có Privacy – Tính riêng tư

Trong ngữ cảnh IT, cụ thể là Security của một tổ chức, Privacy trở thành công việc cân bằng giữa Quyền cá nhân và quyền, hoạt động của tổ chức. Ở đây, có 2 thái cực rõ ràng trong bài toán cân bằng này

– Cá nhân có quyền biết, cho phép hoặc không cho phép việc thông tin riêng tư của mình có được thu thập hay không, được sử dụng vào mục đích gì

–  Tổ chức có quyền thu thập, sử dụng thông tin cá nhân mà không cần thông báo hoặc cho phép của cá nhân đó. Ví dụ giám sát nội dung email, giám sát hoạt động Internet của cá nhân, lưu giữ nội dung chat, …

Và cũng như CIA Triad hay các tính chất khác của Security, Privacy cũng cần sự phù hợp đối với từng tổ chức để xác định cán cân nghiêng về bên nào.

Dù quyết định về tính Privacy nghiêng như thế nào đi nữa thì nội dung của tính chất này phải được miêu tả rõ ràng trong Chính sách bảo mật của tổ chức. Ngoài ra, Privacy không chỉ liên quan đến cá nhân và tổ chức mà còn liên quan đến các external parties như khách hàng, nhà cung cấp, … Nếu tổ chức có thu thập thông tin của các đối tượng này, hãy quan tâm ngay đến việc xác định tính Privacy cho nó.

Khi có sự vi phạm về tính Privacy, hãy ra cơ chế thông báo ngay lập tức, tránh thiệt hại nặng nề vì có thể tổ chức không những đối mặt với thiệt hại về tài chính mà còn dính dáng đến luật pháp.