问：我们正在编写一份符合马萨诸塞州数据保护法（Massachusetts Data Protection Law，又称201 CMR 17）要求的书面信息安全计划（Written Information Security Program，WISP）。您认为在WISP中最关键的方面是什么？有哪些特殊问题我们应该格外注意？

　　答：我对新的马萨诸塞州数据保护法有所了解。为了回答你们的问题，我又花了一些时间研究了这部法律及其立法精神。毫无疑问，这部法律的规定相当具体，还提供了详尽的指导，以帮助公司制定比较合理且容易实施的信息安全政策。

　　因为这确实是一个法规遵从问题，所以你们应该认真对待这部法律。从根本上讲，公司的安全政策需要“回答”201 CMR 17每项条款提出的问题。因此，建议你们首先仔细研读这部法律，确保对于其提出的每项要求，在公司的WISP中都有符合该要求的条款、声明或规则。

　　我带着你们的问题又仔细研读了201 CMR 17的条款，草拟了一份可能符合这部法律要求的WISP政策大纲，下面的大纲也符合PCI DSS（支付卡行业数据安全标准）、ISO 27001或ISO 27002安全标准的要求。下面的信息安全政策示例包含了一些应该列出的法律条文（例如17.03（2））：

　　[示例格式]

　　标题：XXX公司信息安全计划

　　目的：为符合以下法律列出的要求：马萨诸塞州数据保护法201 CMR 17和PCI DSS等（如适用）。
范围：本计划适用于XXX公司章程中定义的所有员工、供应商和承包商：（使用与201 CMR 17（最低标准）、PCI DSS以及ISO 27001或ISO 27002相同的定义（如适用））。

　　政策：XXX公司管理层希望公司的所有员工和业务单位共同努力，确保本公司使用和拥有的所有重要信息得到保护，以保证其机密性、完整性和可用性。特别的，本信息安全计划适用于保护敏感的个人和客户信息——无论是书面信息还是电子信息，避免这些信息的安全性和完整性受到预期的威胁和危害，包括未经授权的访问、滥用、窃取以及无意或未经授权的破坏。本政策的例外情况只能由XXX公司CEO或CEO指定的管理人员批准。

　　具体内容：

　　1.安全计划职责——指定计划的领导人员或管理人员
　　　　a.17.03（2）（a）——按照职务指定安全计划的领导人员（并由CEO按照姓名另函指定）
　　　　b.17.03（2）（h）——确保信息安全计划有效的监管人员
　　　　c.17.03（2）（i）——安全措施的年度审查（将该审查存档）

　　2.风险管理
　　　　a.17.03（2）（b）——识别和评估内部和外部风险

　　3.处理例外情况

　　4.信息的保护、分类、处理和标记
　　　　a.17.03（2）（c）——制定存储、访问和传输信息的政策
　　　　b.17.03（2）（g）——限制访问包含个人资料的信息
　　　　c.17.04（2）（a）——只能访问需要知道的信息
　　　　d.17.04（2）（3）——加密传输所有包含个人资料的信息
　　　　e.17.04（2）（5）——加密便携式计算机和其他便携式设备（例如USB驱动器）中的个人信息

　　5.访问控制
　　　　a.17.03（2）（e）——恶意离职的员工不能访问xx小时以内的个人信息，善意离职的员工不能访问xx天以内的个人信息
　　　　b.供应商管理和控制
　　　　　　i.17.03（2）（f）（1，2）——供应商管理和监督
　　　　c.17.04（1）——用户身份验证
　　　　　　i.17.04（1）（a）——用户标识控制
　　　　　　ii.17.04（1）（b，c）——密码管理
　　　　　　iii.17.04（2）（b）——唯一ID（标识号）加密码
　　　　d.17.04（1）（d，e）——限制对需要获取信息的活跃用户的访问

　　6.更改控制和配置管理

　　7.人事和培训
　　　　a.17.03（2）（b）（1，2）——员工培训、法规遵从
　　　　b.17.04（8）——教育和培训

　　8.物理安全性

　　9.系统安全管理
　　　　a.17.04（6）——防火墙保护和漏洞修补
　　　　b.17.04（7）——恶意软件的防护、漏洞修补和反病毒定义

　　10.事故报告和响应计划
　　　　a.17.03（2）（j）——记录对任何安全漏洞的响应计划
　　　　b.17.03（2）（b）（3）——检测和预防安全系统故障
　　　　c.17.04（4）——监控对个人信息未经授权的使用或访问

　　11.恢复计划

　　12.实施
　　　　a.17.03（2）（d）——对违反安全计划条款行为的处罚