曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        GDPR干貨分享:基于風險的GDPR方法是實現合規性的關鍵
        發布時間:2019-07-22 22:36:19   閱讀次數:

        GDPR干貨分享:基于風險的GDPR方法是實現合規性的關鍵(圖1)

        自通用數據保護法規(GDPR)于去年5月25日生效以來,數據保護已成為全球熱門話題。自2018年5月至2019年5月,歐盟委員會于2019年5月22日發布了關于GDPR遵守和執行情況的信息圖,顯然仍有許多工作要做。在討論將使您的組織更接近合規性的步驟和安全控制之前,讓我們簡要回顧一下GDPR及其一些關鍵概念。


        1.什么是通用數據保護法規?

        每天有數百萬人將他們的個人數據和信息委托給各個實體,并且在零售商店,醫療保健中心,健身房,金融機構或網站上幾乎隨處可見信息共享,通常這些人不知道他們的數據在哪里或其他什么。處理是由誰和誰完成的。GDPR旨在為歐洲帶來最新的隱私和安全方法,旨在為歐盟公民提供對與其他實體共享的個人信息的更強控制,并強制執行所有成員國歐盟統一的法律框架。


        為了快速總結,GDPR要求數據控制器(控制或處理個人數據的所有實體)必須具備適當的組織流程并實施適當的技術措施,以保護歐盟公民的個人數據。這個概念可能看起來不言而喻且易于實施,但在現實世界中,試圖確保遵守GDPR已經讓許多組織陷入困境。


        2. GDPR適用于誰?

        GDPR適用于收集和使用歐盟公民個人信息的企業,無論企業本身位于何處。這種隱私方法使GDPR具有全球影響力,如果企業向歐盟公民提供商品或服務,或通過數據收集收集和分析其數據,則需要符合GDPR。未遵守GDPR的處罰非常嚴厲,高達組織年營業額的4%或2000萬歐元(以較高者為準)的罰款,以及其他處罰可能適用于一系列隱私侵權。


        3. GDPR需要什么?


        GDPR的四個主要關注領域是:隱私權、數據安全、數據控制、數據治理。


        因此,實現法規遵守的一些關鍵考慮因素包括:


        3.1設計隱私

        GDPR的核心是“設計隱私”,這是一個由20世紀90年代加拿大安大略省前信息和隱私專員Ann Cavoukian博士創建的概念,幾十年來一直是企業的最佳實踐指南。 。


        設計隱私是指在設計時考慮到隱私和數據安全性的最佳實踐,政策,程序和數據處理流程。從安全和隱私政策的設計到收集,使用和存儲員工和客戶數據的方式,企業的每個方面都必須從一開始就采用深入的隱私和安全最佳實踐。


        3.2 GDPR數據處理的法律依據

        GDPR列出了收集消費者個人數據的六個可能的法律依據,但對于絕大多數企業而言,唯一可能適用的法律依據是以下列表中的基礎(i)、(ii)和(iii):


        1. 同意

        2. 在不侵犯個人權利和自由的情況下實現某人的合法利益

        3. 履行合同

        4. 法律義務

        5. 保護某人的重要利益

        6. 既得權威的公共利益


        在合法利益的情況下,企業必須能夠向歐盟數據保護機構(DPA)證明收集個人信息對于向客戶履行特定服務至關重要,并且企業只能將個人數據保存為只要它能夠完成這項服務。


        3.3違反通知

        GDPR要求企業必須非??焖俚兀ㄔ?2小時內)和徹底的歐盟數據保護機構(DPA)通知任何涉及歐洲公民的安全數據泄露事件。


        4.您作為CISO可以做些什么 - 基于風險的GDPR方法是關鍵

        雖然GDPR是一個非常復雜的監管,但其核心是一個旨在管理數據保護的法律框架。這意味著GDPR的主要重點是保護企業收集、創建、使用和共享的個人信息,無論是從員工、客戶還是第三方合作伙伴處收集的PII數據。由于信息是從不同來源收集的,因此企業必須采用基于風險的數據保護方法,以便在GDPR下最好地評估和降低風險。


        4.1數據映射分析

        企業必須采取的第一步是投入足夠的時間來了解個人數據的性質和類型以及通過數據映射和信息流分析來實現其服務所需的信息。英國信息專員辦公室免費提供一個很好的模板,其中有一個工作示例可幫助您完成此任務,您需要回答的幾個關鍵問題是:

        • 為什么使用個人數據?

        • 你是誰掌握了相關信息?

        • 你對他們有什么信息?

        • 如何使用數據?

        • 誰有權訪問數據?

        • 數據是否與第三方共享?

        • 存儲數據的位置和持續時間?


        只有在發現組織擁有的所有數據后,您才能確定是否使用它并以不會給員工,客戶和第三方合作伙伴帶來隱私和安全風險的方式存儲它。一旦確定了所有數據并確定了如何使用它,您可以采取以下幾個步驟,以便在所有資產中實現基于風險的數據保護方法:


        4.2進行數據保護/隱私影響評估

        GDPR要求企業必須在高風險處理活動的情況下進行DPIA,并且歐盟的許多組織已經將隱私影響評估(PIA)作為法律或監管義務的一部分。數據保護影響評估(DPIA)是一種定義的流程,用于評估您的企業收集,使用,存儲和披露個人數據的方式是否會產生任何隱私風險。DPIA專門幫助我們識別隱私風險和即將發生的安全問題,它們是幫助我們識別解決方案并在必要時建議適當安全控制的絕佳工具。


        此外,通過實施明確定義的流程來確定何時需要進行DPIA,企業還將能夠證明對數據保護機構(DPA)的責任,從而更接近實現完全符合GDPR的要求。


        4.3通過設計和默認確保隱私和安全

        GDPR要求隱私和安全性,不僅要像我們之前解釋的那樣“按設計”,而且“默認情況下”。這意味著行業最佳實踐現在將成為企業日常運營中的強制性活動,并且需要向數據進行證明。保護當局(DPA),如有要求。這就是為什么組織必須采取措施重新考慮其安全和隱私策略,并將隱私作為其所有運營的基本原則。


        4.4證明對監管機構的責任

        最后,GDPR要求組織保留其所有合規工作的詳細文檔。為了遵守本指南,您必須準備向數據保護機構(DPA)展示您記錄的安全策略的證據,并證明您的策略正在被定期監控和執行。您的目標是能夠證明您以負責任,合乎道德和合法的方式收集,使用,共享,維護和處理個人信息。


        5.您可能已經實施的安全控制也適用于GDPR

        現在,讓我們探討一些關鍵的安全控制措施,這些控制措施需要符合GDPR標準,如果您已經將它們實施到您的組織中,您將獲得額外的“免費”合規性獎勵:


        5.1身份和訪問管理(IDAM)

        擁有適當的身份和訪問管理(IDAM)控制將有助于控制和限制僅授權員工訪問個人數據。這兩項關鍵安全原則適用于IDAM,最低權限和職責分離原則,既確保員工只能訪問其工作職能所需的個人數據或資產。


        IDAM通過確保只有那些需要訪問個人信息數據以便執行其工作的人才能訪問,從而幫助我們實現GDPR合規性。在此設置中,應向所有員工提供安全意識和隱私培訓,以保證維護收集個人數據的預期目的。


        5.2數據丟失預防(DLP)

        數據丟失防護(DLP)是技術控制,可幫助我們防止個人數據丟失。這些控制措施對于防止可能對業務造成不可逆轉損害的違規行為至關重要,根據GDPR,組織,無論是否具有數據控制者或個人數據的數據處理者,均對任何個人數據的丟失承擔責任。他們收集。通過控制和限制公司網絡外部的個人數據傳輸,將DLP控制集成到您的安全策略中可以為業務增加另一層保護。


        5.3加密和假名化

        加密和假名化都是我們可以用來防止未經授權訪問個人數據的技術。加密是將信息或數據轉換為代碼的過程,并且假名替換或刪除標識個人的數據集中的信息。特別是假名化是GDPR推薦但不需要的,但是,如果發生安全漏洞,如果負責違規的組織已將這些類型的技術控制和技術作為額外的安全層實施,調查人員將認為這是一個很大的優勢。


        5.4事件響應計劃(IRP)

        這是不言自明的,所有企業必須在法律和合規性需求之外制定事件響應計劃(IRP)。經過深思熟慮和測試的IRP應該有明確的階段,如準備,識別,遏制,根除,恢復和經驗教訓。如果發生涉及個人數據的事件,GDPR會對您的組織提出一些要求,最明顯的是違規通知,如果是高風險違規行為,甚至會通知受影響的數據主體事件,這兩種情況都應該得到很好的覆蓋。通過您的IRP。


        5.5第三方風險管理

        對于第三方關系而言,GDPR合規性與組織內部關系同樣重要。根據GDPR數據處理器受其數據管理員政策的約束,只要您的組織處理,存儲或傳輸歐盟公民的個人數據與第三方,它就可能在違反情況下承擔責任。如果您的組織信任處理個人數據到數據處理器或子處理器,并且發生違規,GDPR還要求數據處理器在保護個人數據方面發揮積極作用。無論數據控制器實施的策略如何,個人數據的數據處理者必須符合GDPR,并且可以對與丟失或未經授權披露個人數據相關的任何事件負責。子處理器也需要符合GDPR,


        5.6信息安全政策管理

        強大的信息安全策略是將所有先前討論的安全控制和合規性要求結合在一起的粘合劑,并且是描述組織范圍的安全性和隱私策略的文檔,同時它可以成為一個很好的問責制工具。來到DPA。為了有效,安全策略必須得到全公司的認可,以便在不斷變化的網絡風險世界中有效地管理和更新所需的安全控制。如果管理得當并得到妥善處理,則政策管理是實現GDPR或任何其他未來隱私法規(如電子隱私)合規性的基礎。


        6.實現合規

        通過實施GDPR等框架,可以將更多控制權交還給人/消費者,這種額外控制極大地有助于提高人們對政府機構和企業的信任程度,從而提高收入和利潤。GDPR要求不僅僅是一份清單,如果您的組織處理歐盟數據主體的個人數據,那么您必須花時間探索您現有的安全控制措施,以支持GDPR要求,并確保個人數據得到考慮、保護、并妥善處理。


        最終,GDPR合規性很簡單,組織必須對其客戶的收集數據的法律依據透明,并且必須讓他們控制是否要與他人共享數據。然后,組織必須遵循并確保他們僅將他們收集的數據用于他們最初概述的目的,始終在客戶提供的同意范圍內,并確保他們尊重根據法規授予他們的所有權利。


        攬閣信息,助力中國企業走出國門,走進歐洲,我們可為您提供滿足GDPR合規性要求的信息安全產品與解決方案,歡迎您與我們聯系!



        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精