麻萨诸塞州201.cmr.从2009年起,17号就成为了法律,以及它如何适用于你.
在十年来不断加速的数据泄露之后, 黑客, 盗窃, 个人数据盗窃等等, in 2005 201.cmr.17生效. 这项法律旨在保护马萨诸塞州的公民,无论他们身在世界何处.
合规
球型201.CMR.17
201是什么.cmr.17约?
法律整体上是关于保护公民个人信息的,以及拥有这些信息的企业需要做的安全保护.
不需要防火墙, 杀毒, 端点保护, 密码保护等, 企业需要不惜一切代价保护这些数据, 包括尽他们所能保护数据,即使他们失去了对这些数据的控制.
法律和要求:
谁被覆盖?
律法:17.03:
每个拥有或许可有关联邦居民的个人信息的人都应开发, 实现, 并保持一个全面的信息安全计划
以一个或多个易于访问的部分编写,并包含管理、技术和
适用于:
(a)有义务保护个人的人的规模、范围和业务类型
此类综合信息安全计划下的信息;
(b)该人可获得的资源数目;
(c) the amount of stored data; and
(d)消费者和雇员信息的安全性和保密性的需要.
该程序中所包含的保障措施必须与
保护个人信息和任何州规定的类似性质的信息
或者根据联邦法规,对拥有或许可此类信息的人进行监管.
任何拥有公民数据的人都必须遵守.
信息安全计划-必需
每个拥有或许可有关联邦居民的个人信息的人都应开发, 实现, 维护一个全面的信息安全程序,该程序由一个或多个易于访问的部分编写,并包含管理, 技术, and 适用于: (a)有义务保护个人的人的规模、范围和业务类型 此类综合信息安全计划下的信息; (b)该人可获得的资源数目; (c) the amount of stored data; and (d)消费者和雇员信息的安全性和保密性的需要. 该程序中包含的保障措施必须与任何州或联邦法规中规定的保护个人信息和类似性质的信息的保障措施相一致,这些州或联邦法规可能对拥有或许可此类信息的人进行监管.
希望的日子结束了,所有实体都必须有一个适当的计划.
医疗保健数据灾难计划-必需
万一发生意外,你有什么计划? HIPAA要求企业“建立(并根据需要实施)程序来恢复任何数据损失.“你需要记录你将如何在最低限度上保护和恢复患者数据. 更强的计划包括沟通, 选择网站, 以及之后的业务运作,以保持组织的正常运作.
计算机系统要求-必需
所有拥有或使用美国居民个人信息的人
联邦和以电子方式存储或传输此类信息应包括在其
书面的,全面的信息安全程序的建立和维护
覆盖其计算机的安全系统,包括任何无线系统,至少,以及
在技术上可行的范围内.
用户名,密码,令牌,生物特征和更多是必需的. 没有更多的无密码系统和自动登录.
物理限制-必须
安全访问控制措施包括:
(a)限制有需要的人查阅包含个人信息的记录和文件
such 信息 to perform their job duties; and
(b)指定唯一的标识和密码,而不是供应商提供的默认密码
密码,给每一个有电脑权限的人,合理地设计维护
访问控制的完整性和安全性.
把文件放在桌子上然后回家是不可能的. 关于公民的数据不应该被任何不应该访问它的人访问.
加密电子邮件,磁盘,存储公民信息. ——要求
加密所有将在公共网络上传播的包含个人信息的传输记录和文件, 并对所有包含个人信息的数据进行加密,以无线传输.
你要运输它,就必须保护好它.
监控-必需
合理监控系统,防止未经授权的使用或个人访问
信息.
不要做的通知不再被接受,你访问它,你记录它.
防火墙,补丁和维护-必需
对于连接到Internet的系统上包含个人信息的文件,请在那里查找
必须有最新的防火墙保护和操作系统安全补丁,
合理设计以保持个人信息的完整性
那些讨厌的windows通知和苹果更新现在是必需的, 有时一周一次,视风险而定.
防病毒/端点保护-必需
合理的最新版本的系统安全代理软件,必须包括恶意软件保护和合理的最新补丁和病毒定义, 或者使用最新补丁和病毒定义仍然可以支持的此类软件版本, 并设置为定期接收最新的安全更新.
免费杀毒软件, 免费的反恶意软件不再被接受, 你需要合法和可靠的保护,防止病毒和盗窃.
培训-必需的
教育和培训员工正确使用计算机安全系统和个人信息安全的重要性.
员工必须了解安全威胁、网络钓鱼和入侵.
201的底线.cmr.17
如果你有英联邦公民的数据, 你需要保护它, 无论你在世界的哪个角落. 它不仅可以帮助您满足合规性,而且是一个保护您自己知识产权的好主意.
买足球推荐软件app排名