مع احتفالنا بيوم خصوصية البيانات 2020 ، دعونا نتوقف لحظة للتفكير في التغييرات التي طرأت على الخصوصية كنظام – ليس فقط هنا في NIST ، ولكن كمجتمع. قبل عقد من الزمن ، بدت المحادثات بين محترفي الخصوصية عالقة في المناقشات حول معنى الخصوصية ، وما إذا كانت مبادئ ممارسة المعلومات العادلة (FIPPs) لا تزال قابلة للتطبيق في عالم البيانات الضخمة والتقنيات الناشئة مثل إنترنت الأشياء والذكاء الاصطناعي ، ولماذا الخصوصية – لم يتم اعتماد تقنيات التعزيز على نطاق واسع. كانت فكرة إدارة مخاطر الخصوصية مجرد وميض في أعيننا الجماعية.
نحن اليوم نفهم بشكل أفضل مدى أهمية العملية لتحقيق حماية الخصوصية في أنظمة تكنولوجيا المعلومات والمنتجات والخدمات. لا يكفي مجرد وجود مبادئ ، ومتطلبات قانونية ، وحيوانات أليفة ؛ كان علينا اتباع المسار الذي وضعه خبراء الأمن قبل سنوات عديدة لمعرفة كيفية تضمين الأمان في عمليات تطوير الأنظمة والأعمال. عندما أطلقت NIST برنامج هندسة الخصوصية الخاص بها قبل ست سنوات ، كان ذلك بسبب الدعم المختلط بين أصحاب المصلحة. الآن ، تم تطوير معايير إدارة أنظمة الخصوصية أو يتم تطويرها في الهيئات العالمية القائمة على الإجماع (على سبيل المثال ، ISO / IEC 27701 ، ISO / PC 317 ، IEEE P7002) ، أطلقت الرابطة الدولية لمتخصصي الخصوصية قسم هندسة الخصوصية ، وجديد تظهر المؤتمرات مثل ممارسة هندسة الخصوصية والاحترام مما يدل على أن الطلب موجود. يعد إصدار الإصدار 1.0 من NIST Privacy Framework: أداة لتحسين الخصوصية من خلال إدارة مخاطر المؤسسة علامة فارقة في هذه الرحلة.
إنه عن الرحلة
ويا لها من رحلة كانت! من خلال ما يقرب من عام من التعاون المفتوح مع أصحاب المصلحة من جميع أنحاء الحكومة والأوساط الأكاديمية والصناعة ، عملنا على صياغة وصقل أداة لمساعدة المؤسسات على تحديد مخاطر الخصوصية وتحديد أولوياتها وإدارتها بشكل أفضل لحماية خصوصية الأفراد. إلى كل من ظهر جاهزًا للبحث في المحتوى في ورش العمل ، وكتب صفحات من التعليقات المدروسة ، وتفاعل معنا خلال اجتماعات مائدة مستديرة وإحاطات لا حصر لها ، وساعدنا في نشر الكلمة حول هذا الجهد: نشكرك. نحن ممتنون للغاية لمساهماتكم.
كنا نعلم أن الأمور ستكون مختلفة في ورشة العمل الأولى عندما لم نتورط في المناقشات حول تعريفات الخصوصية والبيانات الشخصية (أو معلومات التعريف الشخصية أو المعلومات الشخصية). لقد كان هدفنا جعل إطار عمل الخصوصية محايدًا للقوانين واللوائح ، والتي هي مصدر العديد من هذه الشروط المتغيرة واتخاذ نهج قائم على المخاطر. سمح لنا استخدام المصطلح الأكثر عمومية من البيانات بتحقيق هذين الهدفين. لا يزال بإمكان المؤسسات وضع تعريفات قانونية محددة قد تحكم البيئة التي تعمل فيها ، ولكن اتباع نهج عام يسمح لنطاق أوسع بكثير من المؤسسات باستخدام إطار عمل الخصوصية لتطبيق نهج قائم على المخاطر يأخذ في الاعتبار السياق الذي تتم فيه معالجة البيانات وكيف يمكن أن يتغير هذا السياق بمرور الوقت.
استمرت مناقشة الاتصال في ورشة العمل الثانية حيث علمنا أنه على الرغم من جهودنا ، فإن مسودة المناقشة لم تصل إلى الهدف تمامًا من حيث سد الطريقة التي يتحدث بها المتخصصون في القانون والسياسة عن الخصوصية ولغة المهندسين. في التكرارات التي تلت ذلك ، عملنا على تسهيل هذا الانتقال وإثبات العلاقة بين مبادئ وطرق التنفيذ بدلاً من مجرد إنشاء إعادة صياغة واحدة أخرى لـ FIPPs. كما قمنا بتأطيرها في ورشة العمل الثالثة ، نريد أن يتمكن كل شخص في مؤسسة ما من العثور على نفسه في Framework Core.
كانت ورشة العمل الثالثة والأخيرة من رحلة التطوير بمثابة مناقشة رائعة ومفصلة حول كيفية مواءمة الخصوصية والأمن السيبراني بشكل أفضل داخل المنظمات ، من الناحية المفاهيمية والعملية. سمحت لنا هذه المناقشة بمواصلة تحسين مخطط Venn التأسيسي الذي كنا نستخدمه للتعبير عن العلاقة بين الخصوصية والأمن السيبراني. وبلغت ذروتها في مخطط Venn الجديد لإظهار الطرق المختلفة التي يمكن للمؤسسات من خلالها استخدام إطار عمل الخصوصية وإطار العمل لتحسين الأمن السيبراني للبنية التحتية الحرجة (المعروف أيضًا باسم NIST Cybersecurity Framework) لإدارة مخاطر الخصوصية والأمن السيبراني بشكل جماعي.
أكدت التعليقات على المسودة الأولية لنا أن جهودنا للاستجابة لمناقشات أصحاب المصلحة المتنوعة كانت تسير على الطريق الصحيح ، والأهم من ذلك ، أن هناك رغبة متزايدة في الحصول على مزيد من الإرشادات حول إدارة مخاطر الخصوصية. مع بداية عام 2020 ، تحولت أفكارنا إلى التبني والموارد التي ستكون مطلوبة ليس فقط للتقدم في استخدام إطار الخصوصية ، ولكن هندسة الخصوصية وإدارة المخاطر على نطاق أوسع.
المتعة الحقيقية تبدأ بالتبني
نقدر جميع قادة الخصوصية الذين بدأوا في استخدام المسودة الأولية لإطار عمل الخصوصية العام الماضي. شكرًا جزيلًا أيضًا لأولئك الذين يرسلون الآن أسئلة وتعليقات وبيانات داعمة. من فضلك استمر في ذلك!
واحدة من أفضل الطرق لمساعدة المجتمع هي مشاركة ما تعرفه في الجديد مستودع الموارد أطلقنا للتو. نحن نبحث عن عبور المشاة بين إطار الخصوصية وقوانين الخصوصية واللوائح والمعايير والأطر ؛ ملامح مشتركة إرشادات بشأن أفضل الممارسات ؛ وأدوات لدعم التنفيذ. هذه الموارد ضرورية لتحويل إطار الخصوصية من مستند بسيط إلى أداة عمل فعلية.
كما أشرنا أعلاه ، فإن إطار عمل الخصوصية هو مجرد معلم واحد في رحلة لا تنتهي أبدًا. هناك العديد من التحديات التي تواجهها المؤسسات في تحقيق أهداف الخصوصية الخاصة بها ، والتي ذكرنا بعضها في خريطة الطريق المصاحبة. على مدار العام المقبل ، سنخرج في أحداث مختلفة ونود مواصلة الحوار مع أصحاب المصلحة لدعم التبني وتعزيز مجالات الأولوية من خارطة الطريق. قم بزيارة موقعنا على الإنترنت للحصول على مزيد من المعلومات حول مكان التعامل معنا أو كيفية تقديم الملاحظات ، والاشتراك في قائمتنا البريدية للحصول على تحديثات دورية.
إذا كنت ترغب في معرفة المزيد ، فقم بالانضمام إلى ندوة NIST Privacy Framework التعليمية على الويب غدًا: جاهز ، وتعيين ، واعتماد الإصدار 1.0 في الساعة 1 مساءً بالتوقيت الشرقي (سيتم نشر التسجيل بعد ذلك).
لقد كان إنشاء هذه الأداة معكم جميعًا مدهشًا – ونتطلع إلى العمل معًا للتأكد من استمرار تطوير إطار الخصوصية لتلبية احتياجاتك في العقد القادم. لا يسعنا الانتظار حتى نعيد سرد التقدم الذي أحرزناه كمجتمع ليوم خصوصية البيانات 2030 ، ولكن حتى ذلك الحين: يوم سعيد لخصوصية البيانات 2020!