【公益译文】安全意识专题 | 理解企业安全的合规性需求

本期公益译文将为大家分享 安全意识已经成为公司最重要的投资领域之一。本次系列全面介绍了安全意识相关知识,帮助你保护业务免受日益严重的威胁影响。在详细介绍安全意识各种类型之前,让我们先来看看其迄今为止的发展历史。最早的网络攻击发生在什么时候?黑客在什么时候开始兴起?企业如果培养员工安全意识?快来阅读文章寻找答案把

安全意识的定义

安全意识是就IT 保护对员工进行培训和教育的正式流程。它包括:
• 员工教育计划
• 个人对于公司安全政策应负的责任
• 相关工作审计措施

显然,第一条是安全意识项目的主要组成部分,但让员工负责并采取步骤来衡量组织安全措施的有效性也同样重要。

安全意识可以分为四个阶段:
• 确定当前状态
• 开发并拟定安全意识项目
• 将项目落实到人
• 评估项目进展,进行必要修改

安全意识发展简史

在介绍安全意识的各种类型之前,让我们先来看看其迄今为止的发展历史。
有了互联网,就有了网络安全。实际上,从万维网成为主流资源之始,犯罪分子就开始想法设法地利用它。
最早的网络犯罪发生在20 世纪80 年代初。一个被称为414s(以犯罪分子所在的密尔沃基地区代码命名)的团体因入侵了约60 台电脑而被捕,这些电脑包括纪念斯隆– 凯特琳癌症中心的设备,甚至还有洛斯阿拉莫斯国家实验室的设备。
政府对这种新威胁响应迅速,通过了《计算机欺诈和滥用法案》等法律,以阻止和惩罚这些恶意攻击行为。计算机应急响应小组(CERT)的成立也是为了调查日益增多的黑客行为并研究可能的防护方法。

80 年代末出现了第一个公认的蠕虫,罗伯特• 莫里斯(Robert Morris)是始作俑者。

一开始,这些具有自我复制能力的病毒就能够造成大规模破坏。事实上,它当时几乎弄垮了整个万维网。莫里斯病毒也是广泛传播的DoS(拒绝服务)攻击的第一个版本。这次攻击及之后的攻击之所以让人关注是因为它们促生了我们今天所称的“网络安全”以及CERT。在这次攻击后,公司开始意识到自己是多么脆弱。当今网络安全界的一句箴言“预防胜于治疗”就是在这个时候提出的。
整个20 世纪90 年代,黑客持续发动攻击,但受害者多是政府机构和大型跨国公司。
毕竟,互联网在那时还并不普遍。
最早影响到大众的黑客攻击发生在1997 年,被攻击目标是搜索引擎雅虎。黑客声称,若著名黑客凯文• 米特尼克(Kevin Mitnick)没有被释放出狱,所有使用雅虎的电脑都将在圣诞节那天引爆“逻辑炸弹”。
这次威胁最终不过是虚张声势。还有一次攻击发生在1998 年。其时,劳动统计局收到了数以万计的信息请求,成为了首批垃圾邮件的受害者。

安全意识――定义、历史及类型

由于诸如此类的网络攻击,美国司法部创立了国家基础设施保护中心,以保护美国的电信、运输和技术系统免受黑客侵害。

现代黑客攻击的兴起

在21 世纪的第一个10 年里,黑客攻击开始演变为现今公认的普遍性问题。同样,这主要还是源于目标的成比例增加(越来越多的人使用互联网)。与此同时,黑客攻击大幅度简化。以前,发动攻击的人需要拥有不次于世界一流程序员的技能,现在则无此需要了。此外,攻击手段方面的信息暴增。即使是从未尝试过网络攻击的人也可能不用一个月就成为真正的威胁。

2005 年,一位名叫阿尔伯特• 冈萨雷斯(Albert Gonzalez)的黑客利用自己所长创建了黑客犯罪集团—自愿数字有组织犯罪—从美国零售商TJX(旗下有TJ Maxx 和TKMaxx(英国))发行的4500 多万支付卡中窃取信息。在冈萨雷斯最终被捕并被判处20 年有期徒刑之前,其手下团伙已造成2.65 亿美元的损失。

他们的攻击之所以引人注目,不仅是因为影响范围大,而且还因为对企业造成了重大影响。被盗数据依法受到保护,所以每次攻击发生后都要通知当局。此外,这些公司还需
要拨款来赔偿受害者。这个事件具有里程碑意义,商业世界在事件发生后立刻意识到黑客攻击远不止是小打小闹。

现代安全意识

或许你很清楚,网络攻击并没有减慢。2013 年,攻击者突破了Target 的安全措施,这一事件着实令人震惊,人们这才意识到即使大公司也脆弱得不堪一击。感恩节后的那几天,约4000 万名顾客忙着检查自己的账户,确认资金是否被盗。这里提到Target 攻击的另一个原因是因为这次攻击的复杂程度成了网络安全史上的又一个里程碑。与TJX 遭遇的直接攻击不同,成功攻击了Target 的犯罪分子更看重间接攻击。
他们选择了为Target 提供加热和通风方案的第三方公司。
黑客们还知道,他们须在某一特定时刻发动攻击,因为信用卡号码在系统内存中会以未加密方式短时间存储。这让商业世界发现,此类攻击会产生广泛影响。在数据被盗后,Target 的CEO 被迫辞职。因此,网络安全现在已成为董事会关注的问题。

安全意识的类型

考虑到上述情况,公司显然必须认真对待安全意识,当然,还有数字安全和能够安装、运行设备的专业人员。然而,越来越多的情况表明黑客可利用公司员工而成功发动网络钓鱼攻击及类似攻击。
自上而下的方法
安全意识的一个非常重要的特征是:了解要采取并应用的措施不只是员工的责任。这一点很重要,我们稍后会详述。不过,显而易见的是,需要自上而下的方法。
Target 公司的CEO 由于数据泄露而下台就更充分地说明了这一点。
首先,从普通经理到高管,若没意识到所存在的攻击威胁以及攻击发动的方式,那么他们每个人都会轻易成为攻击目标。但是,这些知识还必须向下传递,让每个员工都具有安全意识并能够保障公司安全。
安全意识预算
要知道公司是否认真对待安全意识,预算是个很好的判断指标。在预算中如何体现了对安全意识的重视?预算是否与其他资金划拨方式相当?
若公司认为安全意识仅仅是时不时地通过邮件提醒人们存在攻击风险,那么公司被攻击则指日可待。要明白的是,安全意识只是可行性保护计划的一部分,其他内容还包括:
• 制定安全政策
• 评估公司漏洞
• 在安全技术方面进行投资

但是,安全意识是最重要的。公司应该像投资软件和安全技术一样投资安全意识。若员工容易在网络钓鱼攻击中上当,什么软件和技术都没用。围绕安全意识的组织结构这种安全意识非常重要,因为它会影响公司中的每个人。就像自上而下的方法一样,以安全为中心的组织结构将会简化每个人的工作。条件允许的话,应该有专门团队负责实施安全意识项目。没有团队的话,至少应该有专人做这份工作。否则,安全意识工作就会成为累赘,无人认真对待,只是互相推诿。专人负责或有专门团队则会逆转这个情况,但须得到管理层的全力支持。

编制计划和相关文档

每个公司的计划会有所不同,但考虑到这种安全意识的重要性,还是有几点需要提前注意。计划应具有如下一些特点:
• 概述安全意识团队人员及其角色
• 安全意识项目的任务说明书应阐述开展此项目的必要性
• 贯穿全年的活动日历,主要包括定期活动(不仅仅是提醒邮件),目的是确保员工了解常见威胁以及他们在预防这些威胁中应承担的角色
• 阐述安全意识项目及其角色的新员工计划
• 所参考的公司安全规程和政策

再次强调,这些内容会因公司不同而有所不同,但某些内容是不可或缺的。以为自己的组织不会被网络犯罪分子盯上,这个错误可犯不起。用各种手段强化意识

我们已经多次提及安全意识提醒邮件。并不是说这种形式不好,相反,这没有任何问题,每个人都需要时常提醒。话虽如此,还是应该使用多种手段来确保员工谨记公司在安全意识方面的要求。
例如,让公司的安全专家面对面向员工解释重要主题;通过邮件发送视频;进行测试;在办公室内贴条提醒也很有用。方法不一而足,重点是不要满足于已有的安全意识传达方式。

大力宣传近期新闻中的攻击事件

这种形式对于安全意识来说非常重要。但是,一定要涉及各种攻击,不仅仅是那些轰动全国的攻击。宣传的目的是向员工展示攻击的普遍性、攻击公司的容易程度以及攻击造成的后果。
所以,不要只是将重点放在举国皆知的事件上。员工很容易这么想:“是的,但我们不是Target,没人会费尽心思攻击我们的。”搜索一下同规模或同行业其他公司的遭遇。让人担忧的是,未来这类攻击事件不会减少。

寻求专业服务

如果当前没有任何安全意识措施,可以考虑接受专业人士的服务。他们会拉你起来跑步前进,弥补失去的时间。即使已经在安全意识政策和其他措施方面进行了投资,偶尔聘请独立顾问来研究是否还有待提高之处不失为明智之举。

2017 年及之后的安全意识

2016 年的经历说明了一件事:网络攻击不会放缓。未来,预防教育中安全意识投资将占有很大一块。毕竟,只有在所有员工都能提供保护的情况下公司才会真正安全。随着网络钓鱼攻击的激增,网络犯罪分子发现了攻击组织的最佳突破点。
从技术的角度来看,几乎没有办法阻止黑客成功发动攻击。除了投资员工教育之外,公司还需要找到最优方案来处理泄露事件。未来,将更多地使用加密这个技术保障手段,因为它仍然是最可靠的保护形式之一。

了解了安全意识的历史以及需要采取什么措施来确保组织安全后,请立刻行动,在这个重要领域进行投资。

 

现今,信息安全至关重要,必须保护敏感信息免遭内部和外部威胁入侵。目前,随着攻击者发起的攻击越来越复杂,影响各行业企业,威胁数量与日俱增。为帮助这些公司防御攻击、缓解风险,保障敏感客户、客户和患者相关数据的安全,各行业的企业目前正努力达到安全意识合规需求。有些需求在政府法规中明确规定,而有些则由行业监管机构或特殊利益群体规定。

安全意识合规需求:了解监管法规

对于公司负责人和决策者以及信息安全专业人士和全体员工来说,安全意识至关重要,每个员工均需了解从总体风险缓解到如何避免网络钓鱼骗局的相关信息。本文介绍与当今组织和企业息息相关的安全意识合规需求。
请注意本文仅涉及员工安全意识合规需求。员工不一定要了解组织为遵循全面安全规定需要采取的措施。

HIPAA

实际上,《健康保险隐私及责任法案》(HIPAA)适用于医疗保健行业的所有企业和组织及其合作伙伴,即使这些合作伙伴从严格意义上说与医疗保健行业并无多大相关性。
例如,存储患者信息的数据交换中心应与医院或诊所一样遵循HIPAA 规定的安全意识合规需求。要符合HIPAA 涉及的安全意识合规需求,组织仅需实现面向全体员工的安全意识和培训计划,即采取以下措施:
• 实现安全入侵检测或防御的特定规程。
• 分析风险,确定潜在漏洞。
• 确保采取充分的安全措施,降低风险。
• 制定处罚条例,对不遵守相关政策和规程的员工采取惩罚措施。
• 确保定期审查信息系统活动记录。

这意味着什么?简言之,组织或企业必须落实健全的安全意识和培训计划,每位员工必须参加培训,高管和其他管理人员也不例外。

PCI-DSS

企业或组织可刷信用卡吗?如果可以,则需遵循支付卡行业数据安全标准《PCI-DSS》。该标准制定的目的是保护客户的财务信息,以防信息在财务交易、财务记录存储及其他情况下遭遇外泄。
PCI-DSS 规定的安全意识合规需求具体来说就是要开展安全培训,确保每位员工了解保护持卡人信息的重要性。培训可通过各种方式开展,如会议、宣传,甚至是张贴海报。员工需书面签名,确认阅读和了解公司的安全政策和规程。
显然,要想满足这些安全意识合规需求,公司或组织需制定一套安全政策和规程,并且开展某种形式的培训,强调保护持卡人信息和财务数据免遭当前各种威胁的重要性。

GLBA

《格雷姆- 里奇- 比利雷法案》(GLBA)即1999 年实施的《金融服务法现代化法案》。该法案涉及金融服务的方方面面,其中金融隐私是其中一个突出重点。该法案的合规需求规定了信息安全系统设计与实施、员工培训与管理、威胁和风险检测等多个范畴。此外,该法案还规定承包商也应提供类似安全保障,定期评估和调整信息安全计划。
不难看出,组织除了制定相关标准,还应创建培训计划,让员工了解如何保护相关记录和财务信息的安全,确保机密性,以及如何发现和防御威胁和风险(如未经授权的数据访问和使用)。

FISMA

《联邦信息安全管理法案》(FISMA)适用于每个联邦机构、承包商以及与之有业务往来的其他合作伙伴。FISMA 涉及的安全意识合规需求规定需开展安全意识培训,确保包括承包商和有可能接触到敏感数据的每个人均了解最佳实践以及安全策略和规程。再次强调一下,实现这些需求的核心是创建培训计划,确保全体员工(包括承包商以及能接触到信息的其他人)不仅参加培训,还要充分理解培训材料,遵从信息保护相关的最佳实践和措施。

NIST 800-53

国家标准与技术研究院(NIST)发布了800-53,着重阐述了如何为联邦政府的信息系统和组织实现信息安全需求。这些需求在NIST 的特别刊物800-53(Rev. 4)AU-1 中明确规定,具体内容如下:
“组织应进行如下操作:
1. 制定以下策略和规程,形成文档,并进行宣传[ 工作;组织指定专人或特定角色负责
2. 安全意识与培训策略:明确目的、范围、角色、职责、管理层承诺、组织实体之间的协调以及合规。
3. 便于实现安全意识与培训策略和相关的安全意识和培训措施的规程。
4. 审核并更新现有策略和规程:
5. 安全意识与培训策略[ 工作:组织明确审核和更新频率]
6. 安全意识与培训规程[ 工作:组织明确审核和更新频率]”
再次强调一下,除了制定安全策略和规程,组织还要确保每个相关人员均接受培训,充分理解这些策略、规程、角色和职责。

ISO/IEC 27002

ISO/IEC 27002 由国际标准化组织和国际电工委员会联合发布,明确了适用于信息安全管理系统的标准。该出版物规定了安全意识合规需求,具体如下所示:
“为切合工作需要,组织的全体员工以及所有相关承包商和第三方用户均应接受适当的安全意识培训,及时了解组织策略和规程的定期更新。”
可见,这再次证实了实现安全意识合规需求重点是要为员工和与企业或组织有业务往来的其他人提供安全意识培训。

理解合规概念

为切实了解实现安全意识合规需求涉及的相关义务,我们需深入学习合规概念。实现安全意识需求对于企业或组织到底意味着什么?

简言之,全体员工、承包商,有时甚至是厂商采取的行动需与该安全意识合规需求规定的义务相符。若某个员工的行动不合理、无视合规规则或以其他方式违反安全法规会导致整个组织不合规。尽管有些员工自认为采取的行为符合企业最大化利益或是为了保护客户,但若其行为与安全意识合规需求相左,也会导致组织不合规。
接下来,让我们看一个PCI-DSS 合规例子:

在一家商店,一名零售工人正在收银。此时,销售终端(POS)系统不知为何发生了故障,导致无法通过电子方式处理信用卡业务。为了继续提供客户服务,这名员工决定人工处理信用卡支付,记下客户姓名、信用卡号、有效期限以及支付价款,然后将这些信息暂时存放在收银机旁边的笔记本中(我们不建议这样做)。他们原打算一旦POS 系统恢复就手动执行这些交易,然后一切万事大吉。
问题是,该员工完全违反了PCI-DSS 需求明确的规则。该员工的行为不仅与相关需求不符,而且导致整个零售业不合规。更何况一旦该店客户的信用卡信息泄露,落入不法分子手中,会造成安全威胁。

让我们再看一个医疗保险行业的类似例子。

一家保险公司的内网出了故障,导致网络中断。随即IT 员工关闭了防火墙,开始排查故障。该IT 员工能够在不到30 分钟的时间内定位网络问题、进行修复,并重新开启防火墙。最终,网络正常运行。这个例子中存在的问题是IT 员工的行为致使这家保险公司违反了HIPAA 规定。

实现安全意识合规需求

我们在前面提及的各法案和规定涉及的各种安全意识合规需求无一例外地强调安全意识培训。所有这些规定均明确一份正式需求,即各行业的组织和企业应制定安全意识计划。那么,如何创建安全意识计划? 由于每个组织所遵循的法规对安全意识合规需求做了不同规定(至少在一定程度上如此),因此安全意识计划应符合组织的实际情况,不能一概而论。然而,不同的安全意识计划也存在某些共同之处。人为因素――风险无处不在,在详细介绍如何创建安全意识培训计划之前,让我们先看一下为何人为(员工、承包商等)因素是要考虑的首要因素。难道不需要关注其他因素了吗,如内部网络的基础设施、部署合适的软件安全保障措施,并采取适当的物理安全防护措施。一句话,这些方面都需要关注。然而,我们应意识到,在任何安全形势下,人类都是安全防护的最薄弱环节。简言之,人们往往无法识别特定行动带来的安全隐患。这也是网
络钓鱼攻击和鱼叉式钓鱼攻击为何如此肆虐的原因之一。由于点击邮件中的链接或下载附件均可带来安全隐患且此类风险不易觉察,因此人们很容易中招攻击。
若站在悬崖边上或行走在有野兽出没的地方,大多数人均会小心谨慎。事实上,我们在这些情况下往往高估了安全风险。然而,在安全风险不易觉察的情况下,我们却放松了警惕。再说,点击链接看似不存在任何危险,因此我们会想当然地认为此类操作相对安全。

根据HIPAA 规定,我需要提供哪些安全培训?
患者健康记录受到网络罪犯分子的高度追捧,因为他们可以通过各种方式利用这些记录。在“暗网”上,被盗的医疗数据售价比信用卡数据高出10 至20 倍。绝症患者、死者、患者的医疗记录都是骗子们的摇钱树,因为这些患者通常不会意识到自己的身份可能已被窃取。卫生保健组织受到持续威胁,1996 年出台的《健康保险隐私及责任法案》(HIPAA)旨在加强患者信息的保密性及患者隐私权。
首先,我们先了解一下,若公司不提供HIPAA 规定的培训,可能会遭受怎样的损失?
然后,我们重新温习一下该法案中规定的组织相关培训要求。虽然有时法案内容看似很模糊( 例如,法案中从未提到“防火墙”一词,而提到了必须“落实技术安全措施,防止未经授权的访问…”),很明显,由于医疗组织的个人数据遭遇入侵,政府对攻击方严惩不贷。您可以在网站上了解过去一年内对各类HIPAA 违规行为的处罚。若从事医疗服务行业,您的组织可能有充分的安全保障,一流的医疗服务,但美中不足的是可能缺乏精通HIPAA的复杂规定的全职人员。安全意识培训和专家级顾问可以弥补这一点。
HSS“耻辱堂”能够让您了解HIPAA 违规行为有多普遍。阅读下面这份清单,您就会了解风险评估对组织的重要性、应该哪些方面开展风险评估,以及员工安全意识培训之所以非常重要的原因。

何为HIPAA ?

HIPAA 是美国制定的一部保障医疗数据隐私和安全的法案。HIPAA 要求美国卫生和公众服务部(HHS)制定保护某些医疗信息的隐私和安全条款。HIPAA 法案适用于所谓的“覆盖群体”:医疗保健提供商、健康计划和健康保健所。还要求与HIPAA 商业伙伴合作的相关实体签署合同,保护商业伙伴使用或披露的任何个人健康信息(PHI)。比如,商业伙伴可能是与相关实体合作的会计或咨询公司,如医院或医生,或任何可以通过组织访问PHI 的其他组织。
PHI 包括患者的个人详细信息,如姓名、住址、出生日期和社保号,以及健康状况和相关治疗。就业记录或教育信息被认为不属于PHI 范畴,这些信息可能在其他法案(如《家庭教育权和隐私权法案》)中有所涉及。注意:这些信息可能是员工需要了解的。但是,然而,对于电子数据包含PHI 有的公司将HIPAA 视为一项沉重负担,而有的公司则视其为一种有用的工具,有助于实现安全数据合规和潜在的诉讼事件。

违规损失

违规损失包括:可能遭遇集体诉讼、HHS 罚款、在新闻中被点名批评和丢脸,或上HHS“耻辱墙”名单。
罚款: 最近的一次HIPAA 案件和解涉及Metro Community Provider Network(MCPN)。MCPN 是美国科罗拉多州一家有联邦资质的医疗健康中心。据报道,为了处理HIPPA 违规问题,该健康中心将支付40 万美元并实施纠正行动计划。该重大事件是由网络钓鱼攻击造成的,黑客成功访问了3000 多人的个人邮箱账户及其电子保护健康信息(ePHI)。此事件和解的出发点是因为MCPN 未能充分保护用户信息。虽然攻击发生在2011 年12 月,但直到2012 年2 月,MCPN 才对事件进行适当的风险分析。令人有点儿不可思议的是,该公司在事件发生之前也并未进行风险分析。
对MCPN 而言,或许法案遵守的负担不那么沉重。
集体诉讼:2016 年,Advocate Health Care 同意支付555 万美元,作为对过去三年里多次数据保护违规行为的补偿,这是HHS 收到的迄今为止最大数额的HIPAA 和解金额。
实际上,很多其他医疗组织也同样被这一问题困扰,Advocate Health Care 当时面临很多起集体诉讼。
信任缺失:2015 年,三S 管理公司案件(支付和解金额350 万美元)也是因为多个子公司多起大范围的违规行为造成的。其中一项值得注意的违规行为是与两名前雇员有关。
公司在他们离职时,未及时终止其受限的数据库访问权限,导致他们在跳槽至竞争对手公司后,访问了网上的独立行医协会(IPA)数据库,该数据存储会员诊断信息和治疗方案。这可就尴尬了!

根据HHS 规定,达到HIPAA 合规性需要完成以下七个基本步骤:
1. 执行书面策略、规程和行为准则。
2. 指定合规官和合规委员会。
3. 实行有效的培训和教育。
4. 建立有效沟通渠道。
5. 实行内部监控和审计。
6. 大力宣传纪律准则,落实行为规范。
7. 快速响应检测到的攻击并采取纠正措施。
只有开展风险分析,您才能真正评估安全脆弱性,并知晓应采取哪些必要防护措施。
一旦遭遇入侵,您的首要任务就是提供安全风险分析。风险分析是一项预防措施,可确保必需的安全措施准备就绪。从长远来看,这是可以省钱的。在这一点上,您可以开始按照角色确定员工培训需求。
培训内容因角色而异,但所有员工都应了解以下基础知识:
• HIPAA 简介
• 合规性报告流程
• 患者权利
• 组织隐私和安全策略
虽然您的组织可能未指派内部人员来管理所有HIPAA 培训,很多组织可协助提供与特定角色相关的HIPAA 培训,如:
• 记录处理
• 部门安全规程
• 联邦法律和国家法律
• 员工访问权限
• 商务伙伴协议
组织中哪些人需要HIPAA 培训?
所有接触PHI 的员工都必须接受HIPAA 培训,包括医生、牙医、护士、心理咨询师、人力资源专员、接待员、兼职员工/ 实习生、网络管理员和安全人员,以及研究人员。
若您的商业伙伴、供应商或合作伙伴接触了PHI,他们也需要接受适当培训。HIPAA培训适用于所有员工,包括管理人员、志愿者、实习生,以及所有外包人员。
除此以外,还有:
• 新员工入职后,必须在适当时间内接受培训;
• 当策略或规程变化影响到员工工作时,必须对员工进行再培训;
• 还要进行定期重温培训。
所有HIPAA 培训都输出相关文档。HIPAA 培训可通过以下方式实现:
• 培训课程签到表;
• 签署接受培训的保密声明;
• 计算机辅助培训或测试结果。
HIPAA 隐私和安全规定培训的要求有哪些?
关于隐私和安全规则,存在一些混淆。隐私规则指的是(各种形式的PHI 保密性保护要求),包括口头形式。例如,与朋友讨论时提及患者姓名,这是对患者隐私的侵犯。安全规定特别关注的是保护电子PHI 的机密性(即隐私性)、完整性和可用性。
健康安全解决方案(Health Security Solutions) 的创始人兼首席安全官SteveSpearman 在Manage My Practice 网站访谈中举了一个很好的例子:“传统的传真机通常被认为是一种模拟设备。”因此,如如果一位医护人员将手头的一份患者信息表通过电话线发传真给另外一位医护人员,就违反了隐私规定。然而,若一位医护人员将文档通过传统传真机发送给另一名医护人员的传真服务器或传真服务(如eFax), 则接收端收到的是经过数字处理的数据。由于数据已经过数字化处理,则第二位医务人员收到的传真受安全规定的保护。”

 

免责声明

本文原文来自于互联网的公共方式,由绿盟科技博客和“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。

发表评论