正版 国际注册数据隐私安全专家认证考试复习手册 [美]国

目录

关于本手册 .............................................................................................................................13 概述........................................................................................................................................................................................................13 本手册的编排........................................................................................................................................................................................13 准备 CDPSE 考试.................................................................................................................................................................................14 开始准备................................................................................................................................................................................................14 使用《CDPSE? 考试复习手册》......................................................................................................................................................14 考试复习手册中的模块 ..............................................................................................................................................................14
CDPSE 考试中的题目类型..................................................................................................................................................................15

第 1 章：
隐私治理 ..................................................................................................................................17

概述............................................................................................................................................................18 领域 1：考试内容大纲.........................................................................................................................................................................18 学习目标/任务说明...............................................................................................................................................................................18 深造学习参考资料................................................................................................................................................................................19 自我评估问题........................................................................................................................................................................................21
A 部分：治理 ............................................................................................................................................23
1.1 个人数据和信息 ..................................................................................................................................................................24
1.1.1 定义个人数据和个人信息 ......................................................................................................................................25
1.2 不同司法管辖区的隐私法律和标准 ..................................................................................................................................26
1.2.1 隐私法律和法规的应用 ..........................................................................................................................................26
1.2.2 隐私保护法律模式 ..................................................................................................................................................26
1.2.3 隐私法律和法规 ......................................................................................................................................................28
1.2.4 隐私标准 ..................................................................................................................................................................29
1.2.5 隐私原则和框架 ......................................................................................................................................................30
1.2.6 隐私自我监管标准 ..................................................................................................................................................31
1.3 隐私记录 ..............................................................................................................................................................................32
1.3.1 文档类型 ..................................................................................................................................................................33
隐私告知....................................................................................................................................................................33
同意书........................................................................................................................................................................34
隐私政策....................................................................................................................................................................34
隐私程序....................................................................................................................................................................34
处理记录....................................................................................................................................................................35
纠正行动计划............................................................................................................................................................35
数据保护影响评估....................................................................................................................................................36
备案通知制度............................................................................................................................................................36
个人信息清单............................................................................................................................................................36
其他类型的文档........................................................................................................................................................37
1.4 法律目的、同意和合法权益 ..............................................................................................................................................38
1.4.1 法律目的 ..................................................................................................................................................................38
1.4.2 同意 ..........................................................................................................................................................................38
1.4.3 合法权益 ..................................................................................................................................................................39
1.5 数据主体的权利 ..................................................................................................................................................................40
B 部分：管理 ............................................................................................................................................42
1.6 与数据有关的角色和职责 ..................................................................................................................................................42
1.7 隐私培训和意识 ..................................................................................................................................................................46
1.7.1 内容与交付 ..............................................................................................................................................................46
1.7.2 培训频次 ..................................................................................................................................................................47



1.7.3 衡量培训和意识 ......................................................................................................................................................48
1.8 供应商和第三方管理 ..........................................................................................................................................................48
1.8.1 法律要求 ..................................................................................................................................................................48
1.8.2 管理程序 ..................................................................................................................................................................49
1.9 审计流程 ..............................................................................................................................................................................51
1.10 隐私事件管理 ....................................................................................................................................................................52
C 部分：风险管理....................................................................................................................................55
1.11 风险管理流程.....................................................................................................................................................................55
1.12 影响隐私的存在问题的数据操作 ....................................................................................................................................56
1.12.1 漏洞 ........................................................................................................................................................................56
1.12.2 存在问题的数据操作 ............................................................................................................................................57
利用漏洞的方法........................................................................................................................................................58
1.12.3 隐私危害和问题 ....................................................................................................................................................60
常见隐私危害的示例................................................................................................................................................60
与数据处理有关的存在问题的数据操作示例........................................................................................................60
1.13 隐私影响评估 ....................................................................................................................................................................61
1.13.1 已建立的 PIA 方法 ................................................................................................................................................62
美国政府 PIA ............................................................................................................................................................62
加拿大政府 PIA ........................................................................................................................................................63
新加坡政府 DPIA .....................................................................................................................................................64
菲律宾政府 PIA ........................................................................................................................................................64
英国政府 DPIA .........................................................................................................................................................65
1.13.2 NIST 隐私风险评估方法 ......................................................................................................................................65
1.13.3 欧盟 GDPR DPIA 方法 .........................................................................................................................................66

第 2 章：
隐私架构 .................................................................................................................................69

概述............................................................................................................................................................70 领域 2：考试内容大纲.........................................................................................................................................................................70 学习目标/任务说明...............................................................................................................................................................................71 深造学习参考资料................................................................................................................................................................................71
A 部分：基础设施 ....................................................................................................................................75
2.1 自主管理型基础设施，包括技术栈 .................................................................................................................................76
2.1.1 本地中心的非云替代方案 ......................................................................................................................................77
托管服务数据中心....................................................................................................................................................77
主机托管数据中心....................................................................................................................................................77
2.1.2 自主管理型基础设施的优势 ..................................................................................................................................78
控制............................................................................................................................................................................78
开发............................................................................................................................................................................78
安全............................................................................................................................................................................78
治理............................................................................................................................................................................78
2.1.3 自主管理型基础设施的局限性 ..............................................................................................................................79
成本............................................................................................................................................................................79
系统管理....................................................................................................................................................................79
可扩展性....................................................................................................................................................................79
系统可用性................................................................................................................................................................79
2.1.4 关键隐私问题 ..........................................................................................................................................................80
系统权限和访问........................................................................................................................................................80
日志记录....................................................................................................................................................................80
监控和警报................................................................................................................................................................81
隐私法律审查............................................................................................................................................................81



2.2 云计算 ..................................................................................................................................................................................82
2.2.1 云数据中心 ..............................................................................................................................................................82
2.2.2 云计算的基本特征 .................................................................................................................................................83
2.2.3 云服务模型 ..............................................................................................................................................................83
2.2.4 责任共担模型 ..........................................................................................................................................................84
2.2.5 云计算的优势 ..........................................................................................................................................................86
成本............................................................................................................................................................................86
安全............................................................................................................................................................................86
可扩展性....................................................................................................................................................................86
向上/下扩展（纵向扩展） .............................................................................................................................86
向外/内扩展（横向扩展） .............................................................................................................................87
扩展方法 ..........................................................................................................................................................87
数据可访问性............................................................................................................................................................87
2.2.6 云计算的局限性 ......................................................................................................................................................87
失去控制....................................................................................................................................................................87
成本............................................................................................................................................................................88
互联网依赖/停机时间...............................................................................................................................................88
安全与隐私................................................................................................................................................................88
2.3 终端 ......................................................................................................................................................................................88
2.3.1 实现终端安全性的方法 ..........................................................................................................................................89
2.4 远程访问 ..............................................................................................................................................................................90
2.4.1 虚拟私有网络 ..........................................................................................................................................................90
问题............................................................................................................................................................................90
风险............................................................................................................................................................................90
用户凭证风险 ..................................................................................................................................................90
恶意软件和病毒 ..............................................................................................................................................90
拆分隧道 ..........................................................................................................................................................90
2.4.2 桌面共享 ..................................................................................................................................................................91
问题和风险................................................................................................................................................................91
2.4.3 特权访问管理 ..........................................................................................................................................................91
2.5 系统加固 ..............................................................................................................................................................................92
B 部分：应用程序和软件 ........................................................................................................................94
2.6 安全开发生命周期 ..............................................................................................................................................................94
2.6.1 隐私与安全开发生命周期的阶段 ..........................................................................................................................94
需求收集....................................................................................................................................................................95
设计和编码................................................................................................................................................................95
测试和发布................................................................................................................................................................95
维护............................................................................................................................................................................96
2.6.2 隐私设计 ..................................................................................................................................................................96
2.7 应用程序和软件加固 ..........................................................................................................................................................97
2.7.1 加固最佳实践 ..........................................................................................................................................................98
2.8 API 和服务 ..........................................................................................................................................................................99
2.8.1 API............................................................................................................................................................................99
2.8.2 Web 服务 ................................................................................................................................................................100
2.9 跟踪技术 ............................................................................................................................................................................100
2.9.1 跟踪技术的类型 ....................................................................................................................................................101
Cookie ......................................................................................................................................................................101 跟踪像素..................................................................................................................................................................102 数字指纹识别/浏览器指纹识别.............................................................................................................................103
GPS 跟踪 .................................................................................................................................................................103
射频识别..................................................................................................................................................................103



C 部分：技术隐私控制..........................................................................................................................104
2.10 通信和传输协议 ..............................................................................................................................................................104
2.10.1 通信协议的类型 ..................................................................................................................................................105
2.10.2 局域网 ..................................................................................................................................................................105
LAN 拓扑结构与协议 ............................................................................................................................................105
LAN 组件 ................................................................................................................................................................106
2.10.3 TCP/IP 及其与 OSI 参考模型的关系.................................................................................................................107
TCP/IP 互联网万维网服务 .....................................................................................................................................107
无线局域网 ..............................................................................................................................................................110
2.10.4 传输层安全协议 ..................................................................................................................................................110
2.10.5 安全外壳 ..............................................................................................................................................................112
2.11 加密、哈希运算和去身份识别 .......................................................................................................................................112
2.11.1 加密 ......................................................................................................................................................................112
对称算法 ..................................................................................................................................................................113
非对称算法 ..............................................................................................................................................................114
量子密码学 ..............................................................................................................................................................115
2.11.2 去身份识别 ..........................................................................................................................................................115
2.11.3 哈希运算 ..............................................................................................................................................................115
消息的完整性和哈希运算算法 ..............................................................................................................................115
数字签名 ..................................................................................................................................................................116
数字信封 ..................................................................................................................................................................117
2.11.4 加密系统的应用 ..................................................................................................................................................117
IP 安全协议 .............................................................................................................................................................118
安全多功能互联网邮件扩展协议 ..........................................................................................................................118
2.12 密钥管理...........................................................................................................................................................................118
2.12.1 证书 ......................................................................................................................................................................118
2.12.2 公钥基础设施 ......................................................................................................................................................119
PKI 加密 ..................................................................................................................................................................119
2.13 监控和日志记录...............................................................................................................................................................119
2.13.1 监控 ......................................................................................................................................................................120
2.13.2 日志记录 ..............................................................................................................................................................120
2.13.3 隐私和安全日志记录 ..........................................................................................................................................121
2.14 身份和访问管理 ..............................................................................................................................................................122
2.14.1 系统访问权限 ......................................................................................................................................................122
2.14.2 强制和自主访问控制 ..........................................................................................................................................123
2.14.3 信息安全和外部相关方 ......................................................................................................................................124
识别与外部各方相关的风险..................................................................................................................................124
满足与客户相关的安全要求..................................................................................................................................125
满足第三方协议中的安全要求..............................................................................................................................125
人力资源安全和第三方 ................................................................................................................................127
筛选 ................................................................................................................................................................128
访问权限的取消 ............................................................................................................................................128

第 3 章：
数据生命周期 .......................................................................................................................131

概述..........................................................................................................................................................132 领域 3：考试内容大纲.......................................................................................................................................................................132 学习目标/任务说明.............................................................................................................................................................................132 深造学习参考资料..............................................................................................................................................................................133



A 部分：数据目的 ..................................................................................................................................137
3.1 数据清单和分类 ...............

ISACA(国际信息系统审计协会)是一家成立于1969年的非营利组织，总部设在美国芝加哥。 ISACA是享誉全球的提供信息系统鉴证及安全，企业IT治理与管理，IT风险及合规性知识、认证、社区，倡导教育的领导组织。 ISACA在其近50年历史中，致力于帮助专业人员和企业实现技术的最大潜力。当今世界为技术所驱动，ISACA为全球专业人员提供知识、职业认证并打造社群网络，助力其职业进阶，推动他们所在的机构转型，通过技术实现创新。ISACA希望与全球的专业人士一起，不断完善信息安全与IT风险的行业规范，持续提升信息安全技术水平，为政府、企业、组织构建坚实的信息安全屏障。
ISACA全球社区中有50多万名从事信息与网络安全、治理、审计与鉴证、风险与创新工作的人员。ISACA旗下的CMMI则专注于企业能力成熟度的评估与改进。ISACA在全球80个国家设有200个分会，并在中国开设办公室。

国际注册数据隐私安全专家认证(CDPSE )已对许多职业产生了积极的影响，包括专业经验得到全球认可和强化知识及技能。

CDPSE 认证全称为Certified Data Privacy Solutions Engineer，旨在评估技术专业人员通过设计实现隐私的能力，以使组织能够增强隐私技术平台和产品，从而为消费者带来利益，建立信任，以及促进数据隐私。ISACA协会发现在众多企业中，负责隐私政策落地和实施的IT人员缺乏相应的专业知识和培训。大部分现有的隐私保护相关认证主要是很对企业法务，这会增加法务和隐私保护落地实施的IT人员沟通成本。因此，ISACA 新推出了数据隐私保护工程师认证(CDPSE)。该认证不仅涉及隐私治理，更关注隐私技术控制。同时也成功搭建起法务和技术部门之间的桥梁。本书帮助参加CDPSE考试人员完整全面复习考试涉及内容， 积极备考。