歐盟史上最嚴隱私保護法規《通用數據保護條例》(簡稱GDPR)為歐盟用戶賦予了更多控制個人數據的權力，同時也迫使組織機構在存儲或處理歐盟個人數據時采取更有力的安全和隱私控制措施。雖然目前還沒有一款工具能夠幫助企業完全滿足 GDPR 的合規性，但有一系列工具可幫助企業朝合規的方向努力，安全信息和事件管理(SIEM)工具就是其中之一。

[[231989]]

SIEM工具為何能幫助企業“合規”?

安全信息和事件管理(SIEM)工具可在 GDPR 合規方面發揮重要作用。過去幾年中，SIEM 的采用率大幅上升，因為包括 PCI DSS 和 HIPAA 在內的復雜合規要求需要先進的威脅監控和管理措施。因此，SIEM 一直是信息安全專業人士的首選。

SIEM 也與 GDPR 提出的幾項要求相契合。GDPR 在幾個重要的條款中特別強調，組織機構須：

• Ÿ保留其處理數據的活動記錄;
• Ÿ記錄正在處理的數據類型;
• Ÿ明確處理數據的目的;
• Ÿ記錄與其共享數據的各方;
• Ÿ為被處理數據設置數據保留限制;
• Ÿ確保采取適當的安全措施來保護數據。

SIEM 可以作為所有數據收集和分析活動的集中點，它可對系統日志和網絡信息提供智能分析。一旦 SIEM 配置正確，它便可以查找惡意行為和系統活動，在安全事件惡化成為有影響的數據泄露事件之前提醒企業的安全事件團隊。

與此同時，SIEM所捕獲的數據中可能包含個人可識別數據。因此，了解使用 SIEM 工具來幫助滿足GDPR 合規性這一舉措所存在的潛在機會和威脅，對于企業或機構來說至關重要。

確定數據泄露的根本原因

企業可采用 SIEM，并在將其正確配置后用來識別網絡中的安全事件，這有助于證明企業已部署了適當的安全控制措施來處理歐盟的用戶數據。此外，SIEM 解決方案還允許企業的分析師快速檢測、防范并調查潛在的數據泄露事件。SANS Institute 的研究分析師在其“2017數據保護調查”報告中指出，SIEM 和日志數據可用于確定數據泄露的根本原因。

當企業向歐盟報告有影響力的數據泄露事件時，企業需提供詳細信息報告數據泄露的范圍，比如哪些數據被訪問、哪些數據受到影響、對歐盟數據主體構成的風險有哪些等等。其中的許多問題可在SIEM解決方案中得到解答。

幫助滿足GDPR 第17條的“被遺忘權”

SIEM 還能夠幫助企業滿足 GDPR 第17條的“被遺忘權”。如果歐盟強制要求，企業就需要部署刪除數據的機制，此外還需要證明個人數據已被刪除。企業可以從批量刪除中提取日志數據，以此驗證數據已被刪除。SIEM 的日志數據還可以讓企業了解訪問數據的人員以及處理數據的時間。企業向歐盟監管機構提供的數據越多則對其越有利。SIEM 可作為管理這些 GDPR 合規要求以及在事件響應過程中處理事件報告的集中點。

注意日志處理中的個人數據

按照 GDPR 的定義，個人數據包括姓名、電子郵件、IP 地址等信息。當企業處理日志和網絡數據時，SIEM 解決方案可能會保留這些數據，從而致使企業違規。為了緩解這種威脅，企業可選擇使用假名和/或加密解決方案。

企業可將日志中的任何個人數據分開并使用假名，以便其只有在需要時才能訪問。

• 當數據經過假名化處理時，敏感數據被替換為不允許識別數據主體的值。
• 當對數據進行加密處理時，企業可以全盤加密的方式對端點上的數據加密，并通過 SIEM 警報監控這些數據

此外，企業也可對存儲在備份和存儲基礎設施中的靜態數據進行加密。 SIEM 可對這些位置的訪問情況進行跟蹤，并監控任何試圖將數據移出網絡的嘗試。部分 SIEM 工具本身就包含假名或數據屏蔽功能，因此企業也可將 SIEM 視為管理和監控 GDPR 合規性的平臺。

總的來說，SIEM 解決方案可幫助企業保護數據。值得強調的是，SIEM 并不是滿足 GDPR 合規的終極工具，但可以解決 GDPR 要求的一些技術和安全控制要求。