问：我们正在编写一份符合马萨诸塞州数据保护法(Massachusetts Data Protection Law，又称201 CMR 17)要求的书面信息安全计划(Written Information Security Program，WISP)。您认为在WISP中最关键的方面是什么?有哪些特殊问题我们应该格外注意?

　　答：我对新的马萨诸塞州数据保护法有所了解。为了回答你们的问题，我又花了一些时间研究了这部法律及其立法精神。毫无疑问，这部法律的规定相当具体，还提供了详尽的指导，以帮助公司制定比较合理且容易实施的信息安全政策。

　　因为这确实是一个法规遵从问题，所以你们应该认真对待这部法律。从根本上讲，公司的安全政策需要“回答”201 CMR 17每项条款提出的问题。因此，建议你们首先仔细研读这部法律，确保对于其提出的每项要求，在公司的WISP中都有符合该要求的条款、声明或规则。

　　我带着你们的问题又仔细研读了201 CMR 17的条款，草拟了一份可能符合这部法律要求的WISP政策大纲，下面的大纲也符合PCI DSS(支付卡行业数据安全标准)、ISO 27001或ISO 27002安全标准的要求。下面的信息安全政策示例包含了一些应该列出的法律条文(例如17.03(2))：

　　[示例格式]

　　标题：XXX公司信息安全计划

　　目的：为符合以下法律列出的要求：马萨诸塞州数据保护法201 CMR 17和PCI DSS等(如适用)。

　　范围：本计划适用于XXX公司章程中定义的所有员工、供应商和承包商：(使用与201 CMR 17(最低标准)、PCI DSS以及ISO 27001或ISO 27002相同的定义(如适用))。

　　政策：XXX公司管理层希望公司的所有员工和业务单位共同努力，确保本公司使用和拥有的所有重要信息得到保护，以保证其机密性、完整性和可用性。特别的，本信息安全计划适用于保护敏感的个人和客户信息——无论是书面信息还是电子信息，避免这些信息的安全性和完整性受到预期的威胁和危害，包括未经授权的访问、滥用、窃取以及无意或未经授权的破坏。本政策的例外情况只能由XXX公司CEO或CEO指定的管理人员批准。

　　具体内容：

　　1.安全计划职责——指定计划的领导人员或管理人员

　　a.17.03(2)(a)——按照职务指定安全计划的领导人员(并由CEO按照姓名另函指定)

　　b.17.03(2)(h)——确保信息安全计划有效的监管人员

　　c.17.03(2)(i)——安全措施的年度审查(将该审查存档)

　　2.风险管理

　　a.17.03(2)(b)——识别和评估内部和外部风险

　　3.处理例外情况

　　4.信息的保护、分类、处理和标记

　　a.17.03(2)(c)——制定存储、访问和传输信息的政策

　　b.17.03(2)(g)——限制访问包含个人资料的信息

　　c.17.04(2)(a)——只能访问需要知道的信息

　　d.17.04(2)(3)——加密传输所有包含个人资料的信息

　　e.17.04(2)(5)——加密便携式计算机和其他便携式设备(例如USB驱动器)中的个人信息

　　5.访问控制

　　a.17.03(2)(e)——恶意离职的员工不能访问xx小时以内的个人信息，善意离职的员工不能访问xx天以内的个人信息

　　b.供应商管理和控制

　　i.17.03(2)(f)(1，2)——供应商管理和监督

　　c.17.04(1)——用户身份验证

　　i.17.04(1)(a)——用户标识控制

　　ii.17.04(1)(b，c)——密码管理

　　iii.17.04(2)(b)——唯一ID(标识号)加密码

　　d.17.04(1)(d，e)——限制对需要获取信息的活跃用户的访问

　　6.更改控制和配置管理

　　7.人事和培训

　　a.17.03(2)(b)(1，2)——员工培训、法规遵从

　　b.17.04(8)——教育和培训

　　8.物理安全性

　　9.系统安全管理

　　a.17.04(6)——防火墙保护和漏洞修补

　　b.17.04(7)——恶意软件的防护、漏洞修补和反病毒定义

　　10.事故报告和响应计划

　　a.17.03(2)(j)——记录对任何安全漏洞的响应计划

　　b.17.03(2)(b)(3)——检测和预防安全系统故障

　　c.17.04(4)——监控对个人信息未经授权的使用或访问

　　11.恢复计划

　　12.实施

　　a.17.03(2)(d)——对违反安全计划条款行为的处罚