限时赠送│来了，你的新书！

字号：大中小

限时赠送│来了，你的新书！

　　我们总期望，这世上所有的变量间都存在明确的因果关系：A必然导致B，或者B一定是A引起的。如果是这样，一切问题都将迎刃而解。

　　而显然，在今天的认知能力下，这是不可能实现的，甚至大多数时候，相关关系也难于识别，搞清楚A与B的变化趋势存在某种程度的一致也不容易。

　　即便如此，事情依然得做。如果将个人信息保护作为因变量（B），那么，所有影响该变量的因素都可以称之为自变量（As）。既然我们目前不能找到明确的因果关系的变量，就尽量的穷尽相关关系的变量。

　　这些与个人信息保护可能存在相关关系的变量集合起来，就成了“最佳实践”。

　　这一堆自变量，在实践中，就表现为一系列的控制（controls）。在目前相对成熟一些的信息安全领域，“最佳实践”对于解决实际问题起到了很大的推动作用，并由此发展成为今天最为流行的ISO/IEC27000标准族。

　　所谓最佳实践，就是在未能准确了解变量之间的关系时，所选择的“看起来最有效”的那条路。

　　诸多文献表明：在无法确认因果关系的情况下，“最佳实践”是解决问题的可行途径之一。

　　《个人信息保护——基于GB/T35273的最佳实践》一书，就是基于上述逻辑。

　　首先，我们根据已有的数据治理模型，选择了一个“看起来最适合”个人信息保护情境（context）的框架，即IPDR²（Identity识别，Protect防护，Detect检测，Respond响应&Recovery恢复）模型。

　　然后，根据现有文献以及工作中所积累的经验，给出了一系列的安全控制，最终如图1所示。

限时赠送│来了，你的新书！

图1 基于IPDR²的个人信息安全保护技术体系框架

　　当然，IPDR²模型并不是原创，正源于此，才能更好的与其他体系进行整合。实际情况是，在方法论这个层次，提出更多的模型已经没有太大的意义，反而在某种程度上增加用户选择和整合的难度。

　　本书的第4章，分析了现有的数据治理框架，提出了IPDR²框架/模型，随后的第5~8章，我们对该模型的主要步骤进行了详细的介绍，同时也介绍了图1中所列的常见的安全控制。

　　本书第9章标题为“在现有基础上加强个人信息保护”，这本身也是目前大多数组织在部署个人信息保护时需要遵循的原则。一般而言，个人信息保护或数据安全的相关控制与现有的信息安全控制存在较多的重合以及相似之处，因此，对多数组织而言，个人信息保护的部署都不会是从头开始。

　　在本书的结论部分，我们重新温习了“最佳实践”的管理原意，并提出了每个组织都（应该）有自己的“最佳实践”。

　　此外，在本书的引言中，我们重新梳理了“数据安全”和“个人信息”等相关定义。第1~3章，定义了“个人信息安全”等概念，也介绍了读者应该理解的相关概念，例如，“网络安全（cybersecurity）”“信息安全”和“网络空间安全”等，随后转入以金融行业作为背景讨论，其中包括国内相关的监管要求和国外可以参考的资料。

　　值得指出的是，为了方便读者阅读，中国标准出版社将GB/T 35273-2007《信息安全技术个人信息安全规范》的全文作为附录置于最后。

　　《个人信息保护——基于GB/T35273的最佳实践》是“十二五”重点图书出版规划项目《信息安全管理体系丛书》的延续，同时也是其中“金融网络安全系列”的第一本。

　　正如中国人民银行科技司司长李伟在丛书序言中指出：

　　“在金融科技时代，网络安全与传统金融安全变得越来越密不可分，界线也变得越来越模糊。无论是‘植根于业务的安全’，还是‘植根于安全的业务’，都不可偏废。”

　　基于此，贯彻落实李伟司长提出的“更好地促进网络安全与金融安全的深度融合”是本书和后续金融网络安全系列丛书最重要的目标。

限时赠送│来了，你的新书！　　

责任编辑：韩希宇