日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

自2018年5月25日，歐盟《通用數(shù)據(jù)保護(hù)條例》GDPR(General Data Protection Regulation)正式生效以來，凡受到該條例管轄的組織都必須依照《條例》規(guī)定，證明自身的合規(guī)性，包括數(shù)據(jù)記錄和活動(dòng)處理、完成隱私影響評(píng)估，以及定期執(zhí)行隱私審計(jì)和政策審核。以下是專家們建議您在進(jìn)行合規(guī)性審核時(shí)，應(yīng)該采取的幾大關(guān)鍵步驟。

對(duì)許多組織而言，為滿足歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)合規(guī)性而進(jìn)行的準(zhǔn)備工作是一項(xiàng)非常耗時(shí)的工程。不幸的是，這項(xiàng)工程至今尚未“完工”。如今，雖然GDPR已經(jīng)正式生效，但是相關(guān)組織仍然需要定期進(jìn)行內(nèi)部審核，以評(píng)估自身合規(guī)水平。一旦發(fā)生違規(guī)或投訴事件時(shí)，你就會(huì)意識(shí)到記錄這些審核的能力有多么重要，因?yàn)樗裎覀冏C明了善意的努力從來不會(huì)白費(fèi)，它可以幫助我們避免重大的損失。

審核工作非常重要，因?yàn)椤皢栘?zé)制”是GDPR的原則之一，而且組織需要依照《條例》規(guī)定，定期執(zhí)行隱私審計(jì)和政策審核，作為其證明自身合規(guī)性的一部分。

此外，有效的審計(jì)工作還可以幫助組織發(fā)現(xiàn)其計(jì)劃中的問題或錯(cuò)誤，從而在發(fā)生違規(guī)事件或遭到質(zhì)疑時(shí)，能夠向監(jiān)管機(jī)構(gòu)提交相關(guān)記錄，協(xié)助其完成相關(guān)調(diào)查。合規(guī)并不是一項(xiàng)“設(shè)定-忘記”的項(xiàng)目，組織應(yīng)該遵循GDPR規(guī)定并定期進(jìn)行監(jiān)督審核，以確保其符合GDPR要求。

實(shí)施GDPR審核是非常重要的一項(xiàng)任務(wù)，它需要檢查用于處理所需任務(wù)的流程是否到位，包括數(shù)據(jù)的“可遺忘權(quán)”(Right to be Forgotten，即當(dāng)用戶不再希望個(gè)人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒有合法理由保存該數(shù)據(jù)，用戶有權(quán)要求刪除數(shù)據(jù))和數(shù)據(jù)可轉(zhuǎn)移權(quán)(data portability，即數(shù)據(jù)主體可以無障礙的將其個(gè)人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個(gè)信息服務(wù)提供者處轉(zhuǎn)移至另外一個(gè)信息服務(wù)提供者)，以及數(shù)據(jù)保護(hù)官們(data protection officers，簡(jiǎn)稱DPOs)和員工在發(fā)生違規(guī)事件時(shí)知道應(yīng)該怎么做。

通過對(duì)必要流程進(jìn)行全面審計(jì)，可以為組織提供用于流程改進(jìn)的依據(jù)和具體措施。此外，它也為組織提供了一個(gè)關(guān)鍵的合規(guī)要素——即證明組織在出現(xiàn)違規(guī)或遭遇投訴之前就已經(jīng)制定了這樣的流程，并正在正常運(yùn)行中。具體而言，它可以幫助提高一般調(diào)查響應(yīng)準(zhǔn)備工作，這是所有組織都應(yīng)該做的事，因?yàn)樗梢员M可能地降低數(shù)據(jù)丟失的風(fēng)險(xiǎn)。

GDPR審核工作可能需要涉及安全工作以外的人員，包括數(shù)據(jù)治理、IT、法律以及人力資源等方面的人員。當(dāng)然，重點(diǎn)還需放在網(wǎng)絡(luò)安全項(xiàng)目上。為了實(shí)現(xiàn)GDPR的合規(guī)性審核任務(wù)，安全專家們建議組織可以采取如下關(guān)鍵步驟：

1. 制定GDPR審核計(jì)劃

專家們表示，實(shí)施審核的***步就是制定詳細(xì)的審核計(jì)劃，并明確一套書面的、可操作和可分配的流程，然后逐步按照計(jì)劃和流程完成合規(guī)性審核工作。對(duì)于那些剛剛著手制定此類計(jì)劃的人來說，ISO(國(guó)家標(biāo)準(zhǔn)組織)為他們的流程提供了模板。雖然該模板并非特定于GDPR的要求，但是它解釋了如何創(chuàng)建適當(dāng)?shù)目刹僮餍杂?jì)劃、詳細(xì)明確了個(gè)人的負(fù)責(zé)內(nèi)容，以及何時(shí)應(yīng)該采取何種行動(dòng)等等。

作為初始階段的一部分，公司需要評(píng)估他們收集的歐盟居民數(shù)據(jù)，存儲(chǔ)位置以及處理方式和地點(diǎn)等信息。審核工作順利開展的重要因素之一，就是要確保正確地識(shí)別了這些數(shù)據(jù)，一旦確定，就可以按部就班的執(zhí)行合規(guī)行動(dòng)。

例如，是誰在負(fù)責(zé)跟蹤這些數(shù)據(jù)，以根據(jù)歐盟居民的要求來移除或轉(zhuǎn)移此類數(shù)據(jù)?你如何確保此類請(qǐng)求是合法的?你如何確保數(shù)據(jù)得到了正確地處理?如果要?jiǎng)h除數(shù)據(jù)，則需要確保包括數(shù)據(jù)備份在內(nèi)的所有存儲(chǔ)庫(kù)都已經(jīng)得到了正確地更新和清理。

因此，這份審核計(jì)劃中應(yīng)該確定一種方法，以識(shí)別哪些歐盟居民的詳細(xì)信息得到了披露，以及這些記錄是否受到加密保護(hù)等。審核計(jì)劃應(yīng)該顯示每個(gè)案件的處理方式。***實(shí)踐還將提供完整的取證審計(jì)跟蹤，以幫助應(yīng)對(duì)質(zhì)疑和投訴，并證明自身合規(guī)性。

在為GDPR構(gòu)建審計(jì)計(jì)劃時(shí)，一定要記住，公司需要了解他們?cè)谡麄€(gè)生命周期中持有的數(shù)據(jù)。不幸的是，GRPR是一個(gè)模糊的規(guī)則，給我們留下了許多開放式問題，這無疑也增加了合規(guī)問題的復(fù)雜性。話雖如此，我還是建議各組織圍繞個(gè)人數(shù)據(jù)的生命周期來實(shí)施審核計(jì)劃，這包括對(duì)個(gè)人數(shù)據(jù)進(jìn)行分類，管理數(shù)據(jù)風(fēng)險(xiǎn)，安全性和供應(yīng)鏈等。

2. 尋找GDPR合規(guī)差距并報(bào)告調(diào)查結(jié)果

在GDPR背景下，查看您當(dāng)前的合規(guī)計(jì)劃，這包括處理記錄、數(shù)據(jù)主體訪問請(qǐng)求流程、技術(shù)和安全控制、隱私原則以及數(shù)據(jù)傳輸機(jī)制。

GDPR影響了組織內(nèi)的大多數(shù)部門。審核工作的“發(fā)現(xiàn)階段”將包含訪談和文件/政策審查，以及任何部門處理個(gè)人數(shù)據(jù)或負(fù)責(zé)與個(gè)人數(shù)據(jù)有關(guān)的治理、運(yùn)營(yíng)或技術(shù)控制措施。這些因素將決定組織與GDPR規(guī)則保持一致性的能力?！鞍l(fā)現(xiàn)階段”應(yīng)該包含組織在滿足具體合規(guī)要求方面的有效性，主要包括：

• 數(shù)據(jù)主體訪問請(qǐng)求;
• 隱私原則;
• 技術(shù)和安全控制;
• DPO適用性;
• 數(shù)據(jù)處理者(Data Processors)監(jiān)督和合約;
• 數(shù)據(jù)泄露響應(yīng)和通知監(jiān)督機(jī)構(gòu)和數(shù)據(jù)主體;
• 隱私影響評(píng)估方法;
• 通過設(shè)計(jì)和默認(rèn)來證明數(shù)據(jù)保護(hù);
• 持續(xù)監(jiān)督合規(guī)計(jì)劃;

一旦“發(fā)現(xiàn)階段”完成，審核人員需要概述當(dāng)前流程和任何存在出入的區(qū)域。這就涉及要生成一份報(bào)告，來顯示組織與GDPR規(guī)則保持一致性的能力。該報(bào)告可以涉獵很多內(nèi)容，包含有關(guān)需要進(jìn)行改進(jìn)部分的詳盡結(jié)果和建議等;或者它也可以像“達(dá)標(biāo)”或“未達(dá)標(biāo)”評(píng)級(jí)一樣簡(jiǎn)單，但需要注意的是，“未達(dá)標(biāo)”類別下的任何內(nèi)容都需要及時(shí)進(jìn)行改進(jìn)。

3. 優(yōu)先考慮并彌補(bǔ)GDPR合規(guī)性方面的差距

接下來，審核團(tuán)隊(duì)需要根據(jù)特定區(qū)域的風(fēng)險(xiǎn)級(jí)別，來確定不合規(guī)區(qū)域的優(yōu)先級(jí)。在進(jìn)行補(bǔ)救工作時(shí)，需要采取基于風(fēng)險(xiǎn)的優(yōu)先級(jí)評(píng)定方法。例如，監(jiān)管機(jī)構(gòu)曾在會(huì)議上表示，他們將把監(jiān)管重點(diǎn)放在違規(guī)行為和組織促進(jìn)合法主體訪問請(qǐng)求的能力上。如果說您的組織缺乏該領(lǐng)域的合規(guī)性，我們建議您及時(shí)完成補(bǔ)救工作。

在確定風(fēng)險(xiǎn)時(shí)應(yīng)該考慮的因素還包括發(fā)生概率、與監(jiān)管不一致的程度，以及發(fā)生侵權(quán)時(shí)的業(yè)務(wù)影響。從風(fēng)險(xiǎn)***的領(lǐng)域開始，對(duì)“發(fā)現(xiàn)階段”識(shí)別出的GDPR合規(guī)性差距進(jìn)行及時(shí)補(bǔ)救。

鑒于監(jiān)管范圍和要求的廣度，單靠一個(gè)人或一個(gè)團(tuán)隊(duì)根本不太可能彌補(bǔ)“發(fā)現(xiàn)階段”識(shí)別出的GDPR合規(guī)性差距。為此，組織可以向負(fù)責(zé)補(bǔ)救和現(xiàn)實(shí)截止日期的相關(guān)所有者分配任務(wù)。

在該階段的工作中，至關(guān)重要的一點(diǎn)就是要了解這樣一個(gè)事實(shí)：一些補(bǔ)救項(xiàng)目將比其他補(bǔ)救項(xiàng)目耗時(shí)更久。例如，技術(shù)修復(fù)和升級(jí)可能需要更多預(yù)算和人員支持;或者數(shù)據(jù)主體權(quán)(data subject rights)可能需要為那些負(fù)責(zé)最終用戶請(qǐng)求的前端處理團(tuán)隊(duì)成員提供開發(fā)培訓(xùn)。

4. 測(cè)試修復(fù)成果

既然審核團(tuán)隊(duì)已經(jīng)投入了大量時(shí)間和資源來尋找并修復(fù)合規(guī)性差距，那么確保組織的流程和系統(tǒng)能夠滿足GDPR要求將至關(guān)重要。

測(cè)試并重新測(cè)試組織已經(jīng)實(shí)施的控制措施，以確保彌補(bǔ)差距，并解決可能出現(xiàn)的任何問題。一旦差距彌補(bǔ)過程順利完成，那么確保組織的流程和系統(tǒng)能夠滿足GDPR要求就成為審核工作接下來要完成的重點(diǎn)內(nèi)容。

值得注意的是，這是一個(gè)持續(xù)的過程。組織需要定期執(zhí)行審核，以確保隱私和合規(guī)性計(jì)劃正在按預(yù)期運(yùn)行。問責(zé)制是GDPR的一項(xiàng)原則，組織必須實(shí)施持續(xù)的監(jiān)督和執(zhí)行計(jì)劃，以測(cè)試隱私計(jì)劃在滿足GDPR要求方面的有效性。

此外，安全專家還表示，為滿足GDPR和數(shù)據(jù)隱私要求，組織還需要納入常規(guī)風(fēng)險(xiǎn)分析。法規(guī)的某些方面可能并不適用于所有公司，包括人命DPO或維護(hù)數(shù)據(jù)處理活動(dòng)的記錄等。為此，審核工作本身可以幫助組織更好地理解GDPR合規(guī)性要求。

GDPR“自我審核”的額外好處

執(zhí)行GDPR審核需要花費(fèi)大量時(shí)間、金錢和其他資源。然而，這種投資所帶來的回報(bào)可能遠(yuǎn)遠(yuǎn)不止能夠幫助組織降低罰款風(fēng)險(xiǎn)。專家表示，在“自我審核”方面表現(xiàn)良好的積極意義遠(yuǎn)大于執(zhí)行審核所花費(fèi)的成本和付出。

例如，Teradata公司的安全專家John Timmerman就將“自我審核”視為展示客戶支持的一種方式。他認(rèn)為，每個(gè)受GDPR影響的營(yíng)銷組織都應(yīng)該成為行業(yè)領(lǐng)先者，在如何保護(hù)客戶資源和宣傳自身優(yōu)勢(shì)方面起到行業(yè)表率作用。但是，令人驚訝的現(xiàn)實(shí)是，很多組織仍然簡(jiǎn)單地將GDPR視為一個(gè)指令，而非一次實(shí)現(xiàn)自身發(fā)展的機(jī)遇。市場(chǎng)***應(yīng)該牢牢地抓住此次發(fā)展機(jī)遇，通過向客戶展示自己如何以及為何使用這些數(shù)據(jù)為客戶提供更好的服務(wù)，來***限度地征服人心，搶占市場(chǎng)。

【本文是專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文

標(biāo)題名稱：GDPR合規(guī)審核需要遵循的4大關(guān)鍵步驟
本文網(wǎng)址：http://www.dlmjj.cn/article/dpicsec.html