十條概念區分信息安全與隱私保護【轉自安全牛】

安全和隱私的區別在哪裏？

因爲缺少統一承認的標準，許多中小企業的客戶都會對一些安全專業的名詞感到困惑，他們不明白這些專業名詞之間的區別是什麼，類似之處又是什麼。對於企業的領導人來講，尤爲是那些並無專職人員去處理和解決這些問題的中小企業，理解這些名詞的真正意義很是重要，以幫助他們在信息保護和隱私管理方面作出正確的決策。

那麼，安全和隱私的區別到底在哪裏呢？下面的七條概念可以幫助你們更好的理解兩者的不一樣：

1.安全是過程，隱私是結果。
2.安全是行動，隱私是成功行動後的結果
3.安全是問題，隱私是對問題的預判
4.安全是戰略，隱私是成果
5.隱私是存在的一種狀態，安全是支撐這種存在的構成
6.安全是戰術策略，隱私是這種戰術策略的目標
7.安全是密函，隱私是密函中信息的成功遞付

這七條概念基本上能夠幫助咱們理解通常意義上的安全與隱私的區別，但除了這些還須要注意如下三點：
「加密確保隱私」的說法不正確

簡而言之，加密只是一種保護信息的安全手段。它固然能夠防止未受權的實體看到我的隱私或說我的信息，但隱私所包含的內容遠不止這些能夠輕易隱藏掉的信息。我的信息的使用、分享，我的對相關信息的訪問，對我的信息如何被使用及分享的選擇權、清除權等等。企業或機構須要一個綜合的隱私保護框架來確保全部的隱私準則被囊括在內，依據並執行。下面是一些主流的，普遍獲得承認的隱私框架：

•經合組織（OECD）隱私保護準則（2013更新）
•AICPA/CICA公認隱私保護準則（GAPP）
•美國公平信息實踐準則（FIPs）
•亞太經合組織（APEC）隱私保護框架
•澳大利亞國家隱私保護準則

上述隱私政策實用有效，並且已經獲得良好的實施，是很是不錯的參考資料。尤爲是OECD和GAPP，在隱私影響評估方面頗有借鑑意義。考慮到加密是保證信息機密性的安全工具，所以能夠獲得第八條概念：

8.安全可以保證信息的機密性，隱私則經常須要這種機密性

「隱私保護主要與法律相關，而安全則屬於IT範疇」的說法不正確

須要特別注意的是，過去的隱私保護法都是在大量的破壞我的隱私和招致負面影響的隱私事件發生後製定的。所以，僅由於某個方面沒有隱私法並不意味着該方面就沒有隱私風險。好比與隱私問題密切相關的大數據分析和物聯網，目前的隱私法並無覆蓋到如此寬泛的隱私風險領域，但咱們知道，在這些領域存在着許多我的信息的隱患。粗略的估計，隱私法頂多只涵蓋了50%到60%的隱私風險。
信息安全不只僅是保護IT資產，它還包括印刷品、音頻、視頻等各類存儲形式的信息。不只僅是保護我的隱私，它還包括各類類型的信息資產，信息的生命週期等相關信息。如下是三種隱私信息保護的範圍：

1） 技術相關（許多機構錯誤的認爲，這是惟一與企業隱私保護相關的領域）
2） 管理相關（包括信息安全管理活動、政策、支持、培訓、意識，以及全部與人類活動有關的行爲）
3） 實體相關（對信息存儲的各類形式和各類介質的保護）

所以能夠獲得第九條概念區分：

9.隱私遠不止是法律問題，安全遠不止是技術問題

「安全與隱私有衝突」的說法一般不正確

常常有人說，安全與隱私不可兼得。這是很是錯誤的。信息安全控制的目標就是要完成對隱私的保護。不少人都認爲信息安全與安全保護是一回事，好比美國國家安全局大範圍對電話監聽，社交媒體Facebook跟蹤全部的用戶活動等等。固然，上述的這兩種行爲的確形成了安全與隱私的衝突，但是這些行爲自己並不符合嚴格意義上的信息安全活動，即使在這些監控和跟蹤活動中還可能使用了信息安全工具。正如隱私保護須要信息安全工具同樣，這些工具也能夠被用來支持許多其餘方面的工做。正是這些「其餘」方面的工做與隱私保護產生了衝突，而不是信息安全自己。

所以這就引出了隱私與安全的第十條概念區分：

10.信息安全是聚焦於信息資產的安全工具和安全行爲，隱私保護則是利用這些資產對我的信息的使用和保護。

信息安全和隱私保護有許多重疊的地方，但最終兩者相關的行爲和目標都有所不一樣。對於信息安全人員來講，要對全部形式、各類類型的信息資產進行安全控制，我的信息保護只是其中的一個子集。不管是中小企業仍是大企業，都必須實施信息安全控制以減小存在於各自業務環境中的隱私泄露風險。

轉自http://www.aqniu.com/neo-points/3921.html