–選擇和保留具備維護(hù)個(gè)人信息安全能力的第三方服務(wù)提供商
      –要求與第三方服務(wù)提供商簽訂有關(guān)遵守政府標(biāo)準(zhǔn)的安全計(jì)劃維護(hù)的合同
      –限制那些出于合理需求來實(shí)現(xiàn)合法目的所收集的個(gè)人信息數(shù)量；限制那些出于合理需求而收集的個(gè)人信息保留的時(shí)間；限制那些處于合理需求來掌握這些私人信息的人員的數(shù)量，或者要求他們必須遵守法定的要求。
      –要求對(duì)鑒定紙張，電子和其他記錄，計(jì)算機(jī)系統(tǒng)和用于存儲(chǔ)個(gè)人信息的筆記本電腦和移動(dòng)設(shè)備等存儲(chǔ)媒介進(jìn)行審核，來決定那些記錄包含個(gè)人信息，除非安全計(jì)劃允許處理這些記錄才能進(jìn)行操作。
      –對(duì)包含個(gè)人信息的記錄進(jìn)行物理訪問實(shí)施合理的約束，包括制定限制此類信息的物理訪問的書面章程，對(duì)此類信息的存儲(chǔ)和存儲(chǔ)區(qū)或鎖定設(shè)備中的數(shù)據(jù)進(jìn)行約束的規(guī)定。

      定期的監(jiān)控能確保安全計(jì)劃的順利實(shí)施，阻止對(duì)個(gè)人信息的未經(jīng)授權(quán)訪問和使用；作為控制風(fēng)險(xiǎn)的必要手段來隨時(shí)更新信息安全保護(hù)工具。至少要按年來審查安全措施，無論在企業(yè)實(shí)踐中發(fā)生了那些涉及安全或者包含個(gè)人信息記錄的違規(guī)行為都能及時(shí)發(fā)現(xiàn)和制止。涉及安全泄密的文件事故和可能導(dǎo)致疏忽的企業(yè)實(shí)踐都需要監(jiān)控。

      這份標(biāo)準(zhǔn)還規(guī)定了對(duì)馬薩諸塞州居民的個(gè)人信息的電子化存儲(chǔ)或者傳輸?shù)挠?jì)算機(jī)系統(tǒng)的最低技術(shù)要求：

      安全用戶鑒定協(xié)議包括：
      -控制用戶ID和其他身份識(shí)別。
      -為指定和選擇密碼提供合理的安全措施（比如采取生物識(shí)別或者符號(hào)裝置來進(jìn)行鑒定）
      -控制數(shù)據(jù)安全密碼來確保這些密碼保存的地址和格式不會(huì)危及到他們所保護(hù)的數(shù)據(jù)安全-限制對(duì)活動(dòng)用戶和活動(dòng)用戶帳戶的訪問-用戶多次嘗試訪問失敗后或者對(duì)特殊系統(tǒng)訪問限制后，要阻止該用戶的使用

      安全訪問控制措施包括：

      -限制那些出于工作職責(zé)所需來對(duì)包含個(gè)人信息的文件和記錄進(jìn)行的訪問
      -為每個(gè)訪問計(jì)算機(jī)的人指定唯一的鑒別手段外加密碼，這個(gè)密碼不能是廠商提供的缺省密碼。維護(hù)對(duì)安全的訪問控制的完整性
      -對(duì)所有通過公共網(wǎng)絡(luò)傳輸?shù)陌瑐€(gè)人信息的文件和記錄進(jìn)行加密，對(duì)所有無線傳輸?shù)臄?shù)據(jù)進(jìn)行加密
      -對(duì)系統(tǒng)實(shí)施合理的監(jiān)控，對(duì)私人信息的訪問都需授權(quán)使用
      -對(duì)所有存儲(chǔ)在筆記本電腦或者其他移動(dòng)設(shè)備上的個(gè)人信息進(jìn)行加密
      -提供合理的實(shí)時(shí)更新的防火墻保護(hù)和操作系統(tǒng)安全補(bǔ)丁，以此來保護(hù)連接到因特網(wǎng)上的系統(tǒng)上的包含個(gè)人信息的文件和維護(hù)個(gè)人信息的完整性。
      -提供系統(tǒng)安全軟件的實(shí)時(shí)更新版本，這個(gè)版本必須包括木馬程序保護(hù)，實(shí)時(shí)更新補(bǔ)丁和防病毒入侵功能。或者是能夠支持實(shí)時(shí)更新補(bǔ)丁和防病毒功能的軟件。要定期接收最新的安全更新通知。
      -培訓(xùn)員工正確使用計(jì)算機(jī)安全系統(tǒng)的方法和培養(yǎng)個(gè)人信息安全重要性的意識(shí)

yajing