–選擇和保留具備維護個人信息安全能力的第三方服務提供商
      –要求與第三方服務提供商簽訂有關遵守政府標準的安全計劃維護的合同
      –限制那些出于合理需求來實現合法目的所收集的個人信息數量；限制那些出于合理需求而收集的個人信息保留的時間；限制那些處于合理需求來掌握這些私人信息的人員的數量，或者要求他們必須遵守法定的要求。
      –要求對鑒定紙張，電子和其他記錄，計算機系統和用于存儲個人信息的筆記本電腦和移動設備等存儲媒介進行審核，來決定那些記錄包含個人信息，除非安全計劃允許處理這些記錄才能進行操作。
      –對包含個人信息的記錄進行物理訪問實施合理的約束，包括制定限制此類信息的物理訪問的書面章程，對此類信息的存儲和存儲區(qū)或鎖定設備中的數據進行約束的規(guī)定。

      定期的監(jiān)控能確保安全計劃的順利實施，阻止對個人信息的未經授權訪問和使用；作為控制風險的必要手段來隨時更新信息安全保護工具。至少要按年來審查安全措施，無論在企業(yè)實踐中發(fā)生了那些涉及安全或者包含個人信息記錄的違規(guī)行為都能及時發(fā)現和制止。涉及安全泄密的文件事故和可能導致疏忽的企業(yè)實踐都需要監(jiān)控。

      這份標準還規(guī)定了對馬薩諸塞州居民的個人信息的電子化存儲或者傳輸的計算機系統的最低技術要求：

      安全用戶鑒定協議包括：
      -控制用戶ID和其他身份識別。
      -為指定和選擇密碼提供合理的安全措施（比如采取生物識別或者符號裝置來進行鑒定）
      -控制數據安全密碼來確保這些密碼保存的地址和格式不會危及到他們所保護的數據安全-限制對活動用戶和活動用戶帳戶的訪問-用戶多次嘗試訪問失敗后或者對特殊系統訪問限制后，要阻止該用戶的使用

      安全訪問控制措施包括：

      -限制那些出于工作職責所需來對包含個人信息的文件和記錄進行的訪問
      -為每個訪問計算機的人指定唯一的鑒別手段外加密碼，這個密碼不能是廠商提供的缺省密碼。維護對安全的訪問控制的完整性
      -對所有通過公共網絡傳輸的包含個人信息的文件和記錄進行加密，對所有無線傳輸的數據進行加密
      -對系統實施合理的監(jiān)控，對私人信息的訪問都需授權使用
      -對所有存儲在筆記本電腦或者其他移動設備上的個人信息進行加密
      -提供合理的實時更新的防火墻保護和操作系統安全補丁，以此來保護連接到因特網上的系統上的包含個人信息的文件和維護個人信息的完整性。
      -提供系統安全軟件的實時更新版本，這個版本必須包括木馬程序保護，實時更新補丁和防病毒入侵功能?；蛘呤悄軌蛑С謱崟r更新補丁和防病毒功能的軟件。要定期接收最新的安全更新通知。
      -培訓員工正確使用計算機安全系統的方法和培養(yǎng)個人信息安全重要性的意識

yajing