一、GRC简介

GRC即治理、风险管理与合规，通过解决不确定性以及诚信行事，保障企业可靠的实现目标的能力集合，是一种企业风险治理的框架模型。

治理（G）的主要工作包括：

● 建立战略与边界。
● 组织架构与权责划分。
● 政策的制定与流程管控。
● 绩效监督。

风险管理（R）的主要工作包括：

● 风险的分类。
● 风险的评估方法。
● 风险处理。
● 风险报告机制。

合规（C）的主要工作包括：

● 各种不合规风险的文档化。
● 定义流程中的合规控制点并文档化。
● 评估控制点的有效性。
● 解决发现的合规问题。

二、隐私保护治理简介

如果企业面临较大的合规压力，可借鉴数据安全管理的相关做法以及合规要求，构建隐私保护的管理体系，包括：

● 建立隐私保护政策总纲，并在管理层达成共识。
● 建立隐私保护的组织和团队、职责分工，负责隐私保护监督、审计以及与监管机构沟通。
● 建立隐私保护的政策与框架（建立文件体系及运用于实践）。
● 确定适用的法律法规清单，并将其转化为内部文件。
● 建立隐私影响评估（PIA）或数据保护影响评估（DPIA）的方法论与操作流程。
● 隐私生命周期的管理与落地（如隐私声明、收集、数据主体同意、流转审批流程、有效期管理与数据清理等）。
● 建立数据目录以及隐私运营支撑系统，用于对隐私风险进行度量，支撑隐私保护工作的例行开展，并可用于向监管机构证明自身的合规性。
● 建立数据主体请求的相关流程和系统（用于支撑用户查询、修改、删除、撤回同意等）。
● 隐私数据泄露事件的响应与报告机制。

三、数据保护治理GRC实践

这里我们将GRC风险治理方法论融入PDCA循环来讨论隐私合规的具体实践。

3.1、计划（P）

计划阶段的主要任务包括：

G：设定目标、组织职责与问责政策、制定总体政策。
R：风险识别。
C：确定合规要求，分解重组，确定内部合规基准。

3.2、执行（D）

执行阶段的主要任务包括：

G：细化政策、监督。
R：风险评估、风险控制矩阵、融入流程、风险处置。
C：内部合规基准转化为合规控制矩阵、建立/融入流程、合规改进、建立合规记录。

3.3、检查（C）

检查阶段的主要任务包括：

G：对团队努力的成果、过程、态度进行绩效考核。
R：对风险的度量，就是用数据来量化风险，可用于各业务团队间对比，表彰先进。
C：对合规有效性的检查、合规记录的检查；这里的有效性，包括但不限于隐私声明是否经过自检、是否具备数据流转审批记录、是否具备对供应商的尽职调查记录、数据主体请求是否得到处理等。

3.4、处理（A）

处理阶段的主要任务包括：

G：依据合规检查的结果、风险度量的结果、绩效度量的结果，执行决策和问责。
R：风险总结，残余风险继续转入下一轮PDCA循环。
C：合规总结，遗留的不合规问题继续转入下一轮PDCA循环。

四、隐私保护能力成熟度

隐私保护领域常用的能力成熟度评价模型是AICPA/CICA PMM，它是由美国及加拿大会计师协会制定的，是基于GAPP（公认隐私准则）和CMM（能力成熟度模型）而发展出来的隐私成熟度模型，可用于评价企业隐私保护体系的当前水平。

然而在实践中，一般是不建议直接使用外部规范的，我们需要将其进行内部转化才行。内部转化的过程中，一般选取的指标不必很全（各业务都做得比较好的指标可以去掉，只纳入风险比较高的指标），主要目的在于驱动各业务线的合规改进。转化后的成果即内部能力成熟度模型。

以下是一般性建议，在实践中，应当根据自己企业的实际情况来制定。

能力成熟度标准参考：

级别	能力简述
五级	持续优化级，基于量化反馈、审计的持续改进，需要大量记录作为证据
四级	可度量（隐私合规风险量化）或可管理（如可视化跟踪），能够通过有效性审查
三级	充分定义与文档化
二级	可重复的活动过程
一级	单例，基本不重复

内部能力成熟度参考：

细分领域	三级（充分文档化定义）	四级（可度量/可管理）
组织与政策	一、二、三道防线的组织体系设计与任命文件、问责制度；相对完善的政策文件体系、流程。	问责记录、对政策文件的评审记录、修订记录、审计记录
隐私声明	隐私声明/通知的管理规定、模板、检查表；检查表自检记录。	对自检进行量化，统一展示得分
选择/同意	充分保障数据主体的选择权，重要选项均需要用户主动勾选，不执行一揽子式同意；记录用户对隐私声明的每个版本的同意情况。	数据主体的同意，最化管理，可视化或可查询
数据目录/分级	数据分级分类的政策文件；数据目录及数据的分级分类标识。	数据统计与可视化管理
数据流转	数据流转的管理规定；流转审核记录；如涉及供应商、具备尽职调查记录、数据处理协议签署记录；如涉及跨境，具备数据传输协议的签署记录。	数据记录统计与可视化管理
隐私设计	设计规范、检查表；检查表自检记录。	自检结果度量统计与分析
数据主体请求	管理规定、处理流程；处理记录。	数量度量（分类型统计，如销户、更正等；分业务统计各业务请求数据）； SLA度量（及时完成率等）
风险评估	风险管理规定、评估方法、定级标准；评估记录。	评估报告统计与分析、风险分类
意识教育	管理规定（从业人员资质要求、培训要求等）；培训/考试记录。	培训/考试数据量化与统计分析
事件管理	管理规定、事件处理流程、处理记录。	统计与分析

数据安全--14--隐私保护治理浅析相关推荐

“WFCF”数据安全及隐私保护声明
湖南维冠房地产咨询有限公司(以下称"我们")深知隐私对您的重要性,并会尽全力保护您的隐私.本<"WFCF"数据安全及隐私保护声明>(以下简称&quo ...
数据安全和隐私保护（新生研讨课小论文）
摘要本篇论文简单讲述了当今社会中,数据带来的机遇以及数据的安全隐患问题,从而导致的用户隐私安全隐患问题.同时粗略讨论面对这些机遇挑战以及安全隐患问题,我们该如何应对,应对的方法和技术又有哪些,分别有 ...
数据分析综述：联邦学习中的数据安全和隐私保护问题
©作者 | Doreen 01 联邦学习的背景知识近年来,随着大量数据.更强的算力以及深度学习模型的出现,机器学习在各领域的应用中取得了较大的成功. 然而在实际操作中,为了使机器学习有更好的效果,人 ...
世平携手阿里邀您参加2018数据安全与隐私保护大会
由中国保密协会隐私保护专委会等单位主办,阿里巴巴数据安全研究院等单位承办,中科院信工所.蚂蚁金服.杭州世平信息科技有限公司协办的2018(第三届)数据安全和隐私保护大会,将于9月27-29日在杭州西溪 ...
湾区创见·网络安全大会数据安全及隐私保护专场精彩内容回顾
2020年11月28-29日,湾区创见 ·2020 网络安全大会在深圳圆满召开.本次大会以"新基建新安全"为主题,以线上线下相结合的方式,提升粤港澳大湾区网络安全产业影响力,推动大 ...
数据安全与隐私保护战略峰会登场ISC 2021，共探数据安全新风向
万物互联时代,数据安全问题已成为数字经济高质量持续发展的关键点和压舱石,加强数据安全与隐私保护是维护国家安全和国家竞争力的战略需要.为促进数据安全产业发展,7月28日,由大数据协同安全技术国家工程实验 ...
专题：大数据安全和隐私保护
专题:大数据安全和隐私保护 Big Data Security and Privacy Protection 导读: 随着DT时代的到来,数据像石油一样成为一种战略资源,给社会生产生活带来了深远的影响 ...
数据安全与隐私保护要点整理
数据安全面临的挑战性问题主要体现在以下几个方面数据中的用户隐私保护,即数据脱敏. 数据的可信性,即数据的使用者应该有能力鉴别数据的真实性或者可信程度. 实现数据的访问控制,即不同的用户对数据的访问权 ...
【BDTC 2016】与360、安天、三未信安、明朝万达、数字观星、观数科技共同讨论大数据安全与隐私保护...
[CSDN现场报道]2016年12月8-10日,由中国计算机学会(CCF)主办,CCF大数据专家委员会承办,中国科学院计算技术研究所.中科天玑数据科技股份有限公司与CSDN共同协办,以"聚焦 ...

数据安全--14--隐私保护治理浅析