数据安全--14--隐私保护治理浅析
一、GRC简介
GRC即治理、风险管理与合规,通过解决不确定性以及诚信行事,保障企业可靠的实现目标的能力集合,是一种企业风险治理的框架模型。
治理(G)的主要工作包括:
● 建立战略与边界。
● 组织架构与权责划分。
● 政策的制定与流程管控。
● 绩效监督。
风险管理(R)的主要工作包括:
● 风险的分类。
● 风险的评估方法。
● 风险处理。
● 风险报告机制。
合规(C)的主要工作包括:
● 各种不合规风险的文档化。
● 定义流程中的合规控制点并文档化。
● 评估控制点的有效性。
● 解决发现的合规问题。
二、隐私保护治理简介
如果企业面临较大的合规压力,可借鉴数据安全管理的相关做法以及合规要求,构建隐私保护的管理体系,包括:
● 建立隐私保护政策总纲,并在管理层达成共识。
● 建立隐私保护的组织和团队、职责分工,负责隐私保护监督、审计以及与监管机构沟通。
● 建立隐私保护的政策与框架(建立文件体系及运用于实践)。
● 确定适用的法律法规清单,并将其转化为内部文件。
● 建立隐私影响评估(PIA)或数据保护影响评估(DPIA)的方法论与操作流程。
● 隐私生命周期的管理与落地(如隐私声明、收集、数据主体同意、流转审批流程、有效期管理与数据清理等)。
● 建立数据目录以及隐私运营支撑系统,用于对隐私风险进行度量,支撑隐私保护工作的例行开展,并可用于向监管机构证明自身的合规性。
● 建立数据主体请求的相关流程和系统(用于支撑用户查询、修改、删除、撤回同意等)。
● 隐私数据泄露事件的响应与报告机制。
三、数据保护治理GRC实践
这里我们将GRC风险治理方法论融入PDCA循环来讨论隐私合规的具体实践。
3.1、计划(P)
计划阶段的主要任务包括:
G:设定目标、组织职责与问责政策、制定总体政策。
R:风险识别。
C:确定合规要求,分解重组,确定内部合规基准。
3.2、执行(D)
执行阶段的主要任务包括:
G:细化政策、监督。
R:风险评估、风险控制矩阵、融入流程、风险处置。
C:内部合规基准转化为合规控制矩阵、建立/融入流程、合规改进、建立合规记录。
3.3、检查(C)
检查阶段的主要任务包括:
G:对团队努力的成果、过程、态度进行绩效考核。
R:对风险的度量,就是用数据来量化风险,可用于各业务团队间对比,表彰先进。
C:对合规有效性的检查、合规记录的检查;这里的有效性,包括但不限于隐私声明是否经过自检、是否具备数据流转审批记录、是否具备对供应商的尽职调查记录、数据主体请求是否得到处理等。
3.4、处理(A)
处理阶段的主要任务包括:
G:依据合规检查的结果、风险度量的结果、绩效度量的结果,执行决策和问责。
R:风险总结,残余风险继续转入下一轮PDCA循环。
C:合规总结,遗留的不合规问题继续转入下一轮PDCA循环。
四、隐私保护能力成熟度
隐私保护领域常用的能力成熟度评价模型是AICPA/CICA PMM
,它是由美国及加拿大会计师协会
制定的,是基于GAPP(公认隐私准则)和CMM(能力成熟度模型)而发展出来的隐私成熟度模型,可用于评价企业隐私保护体系的当前水平。
然而在实践中,一般是不建议直接使用外部规范的,我们需要将其进行内部转化才行。内部转化的过程中,一般选取的指标不必很全(各业务都做得比较好的指标可以去掉,只纳入风险比较高的指标),主要目的在于驱动各业务线的合规改进。转化后的成果即内部能力成熟度模型
。
以下是一般性建议,在实践中,应当根据自己企业的实际情况来制定。
能力成熟度标准参考:
级别 | 能力简述 |
---|---|
五级 | 持续优化级,基于量化反馈、审计的持续改进,需要大量记录作为证据 |
四级 | 可度量(隐私合规风险量化)或可管理(如可视化跟踪),能够通过有效性审查 |
三级 | 充分定义与文档化 |
二级 | 可重复的活动过程 |
一级 | 单例,基本不重复 |
内部能力成熟度参考:
细分领域 | 三级(充分文档化定义) | 四级(可度量/可管理) |
---|---|---|
组织与政策 |
一、二、三道防线的组织体系设计与任命文件、问责制度; 相对完善的政策文件体系、流程。 |
问责记录、对政策文件的评审记录、修订记录、审计记录 |
隐私声明 |
隐私声明/通知的管理规定、模板、检查表; 检查表自检记录。 |
对自检进行量化,统一展示得分 |
选择/同意 |
充分保障数据主体的选择权,重要选项均需要用户主动勾选,不执行一揽子式同意; 记录用户对隐私声明的每个版本的同意情况。 |
数据主体的同意,最化管理,可视化或可查询 |
数据目录/分级 |
数据分级分类的政策文件; 数据目录及数据的分级分类标识。 |
数据统计与可视化管理 |
数据流转 |
数据流转的管理规定; 流转审核记录; 如涉及供应商、具备尽职调查记录、数据处理协议签署记录; 如涉及跨境,具备数据传输协议的签署记录。 |
数据记录统计与可视化管理 |
隐私设计 |
设计规范、检查表; 检查表自检记录。 |
自检结果度量 统计与分析 |
数据主体请求 |
管理规定、处理流程; 处理记录。 |
数量度量(分类型统计,如销户、更正等;分业务统计各业务请求数据); SLA度量(及时完成率等) |
风险评估 |
风险管理规定、评估方法、定级标准; 评估记录。 |
评估报告统计与分析、风险分类 |
意识教育 |
管理规定(从业人员资质要求、培训要求等); 培训/考试记录。 |
培训/考试数据量化与统计分析 |
事件管理 | 管理规定、事件处理流程、处理记录。 | 统计与分析 |
数据安全--14--隐私保护治理浅析相关推荐
- “WFCF”数据安全及隐私保护声明
湖南维冠房地产咨询有限公司(以下称"我们")深知隐私对您的重要性,并会尽全力保护您的隐私.本<"WFCF"数据安全及隐私保护声明>(以下简称&quo ...
- 数据安全和隐私保护(新生研讨课小论文)
摘要 本篇论文简单讲述了当今社会中,数据带来的机遇以及数据的安全隐患问题,从而导致的用户隐私安全隐患问题.同时粗略讨论面对这些机遇挑战以及安全隐患问题,我们该如何应对,应对的方法和技术又有哪些,分别有 ...
- 数据分析综述:联邦学习中的数据安全和隐私保护问题
©作者 | Doreen 01 联邦学习的背景知识 近年来,随着大量数据.更强的算力以及深度学习模型的出现,机器学习在各领域的应用中取得了较大的成功. 然而在实际操作中,为了使机器学习有更好的效果,人 ...
- 世平携手阿里邀您参加2018数据安全与隐私保护大会
由中国保密协会隐私保护专委会等单位主办,阿里巴巴数据安全研究院等单位承办,中科院信工所.蚂蚁金服.杭州世平信息科技有限公司协办的2018(第三届)数据安全和隐私保护大会,将于9月27-29日在杭州西溪 ...
- 湾区创见·网络安全大会数据安全及隐私保护专场精彩内容回顾
2020年11月28-29日,湾区创见 ·2020 网络安全大会在深圳圆满召开.本次大会以"新基建新安全"为主题,以线上线下相结合的方式,提升粤港澳大湾区网络安全产业影响力,推动大 ...
- 数据安全与隐私保护战略峰会登场ISC 2021,共探数据安全新风向
万物互联时代,数据安全问题已成为数字经济高质量持续发展的关键点和压舱石,加强数据安全与隐私保护是维护国家安全和国家竞争力的战略需要.为促进数据安全产业发展,7月28日,由大数据协同安全技术国家工程实验 ...
- 专题:大数据安全和隐私保护
专题:大数据安全和隐私保护 Big Data Security and Privacy Protection 导读: 随着DT时代的到来,数据像石油一样成为一种战略资源,给社会生产生活带来了深远的影响 ...
- 数据安全与隐私保护要点整理
数据安全面临的挑战性问题主要体现在以下几个方面 数据中的用户隐私保护,即数据脱敏. 数据的可信性,即数据的使用者应该有能力鉴别数据的真实性或者可信程度. 实现数据的访问控制,即不同的用户对数据的访问权 ...
- 【BDTC 2016】与360、安天、三未信安、明朝万达、数字观星、观数科技共同讨论大数据安全与隐私保护...
[CSDN现场报道]2016年12月8-10日,由中国计算机学会(CCF)主办,CCF大数据专家委员会承办,中国科学院计算技术研究所.中科天玑数据科技股份有限公司与CSDN共同协办,以"聚焦 ...
最新文章
- create-react-app搭建环境+Less+element+router+flux状态管理
- 生活感悟 2018-06-13
- boost::mp11::mp_fold_q相关用法的测试程序
- QQ病毒越来越人性化了
- 有一只经过训练的蜜蜂……
- 大连开发区取暖费能微信支付吗_下半年教资报考人数增加,那到底能不能异地报考呢?...
- linux suse 共享目录_SUSE环境下YAST源(连接共享目录)
- access文本框如何分开_ACCESS 2007 如何在窗体中将一个文本框的内容复制给另外一个文本框?...
- Python TypeError: descriptor '__init__' requires a 'super' object but received a 'str' 错误
- Java Arrays类进行数组排序需要注意的事情
- 关于SQL的基础语法(一)
- 高质量的设计素材,有效提高工作效率
- MFC socket编程
- mysql 提高恢复速度_如何有效地提高 MySQL 的备份和恢复速度?
- matplotlib基本设置
- server 2012 IIS 启用.NET 4.5
- 学生管理系统--golang--简单版本---开发框架
- Linux内核链表及list_entry解析
- 14套黑马程序员课程打包【资料全部完整】
- 【vn.py】开发环境搭建
热门文章
- Python pyglet 自制3D引擎入门(一) -- 绘制几何体、创建3D场景
- ChatGPT与BimAnt的1小时对话实录【数字孪生】
- 豆瓣的python库安装源
- python学习小组分组程序_【Python】每日一练:学生学习小组分组程序
- carsim2020.0的教程在“将HDWDZDPPV6 替换成 复制的HostID”这个步骤总是安装失败,解决这个问题,成功安装carsim2020.0的经验
- 好青年 | leetcode 今日事今日毕(GitHub Actions集成LeetCode每日一题至issues)
- android相机实时滤镜,android 包含美颜等40余种实时滤镜相机
- 双硬盘安装win10和linux双系统,双硬盘安装win10+ubuntu18心得
- UGUI事件传递流程解析
- 西门子PLC 冷启动、暖启动、热启动的一种通俗解释