安全合规GDPR--7--为实现GDPR合规要求企业需要怎么做？.pdf

安全合规/GDPR--7--为实现GDPR合规要求企业需要怎么做？ 1. 树立来自最高管理层的紧迫感 风险管理公司Marsh强调了执行领导层重视网络准备的重要性，遵守全球数据卫生标 准是准备工作的一部分。 2. 号召所有的利益相关者 仅靠IT人员是无法实现GDPR合规要求的。公司可以启动一个工作小组，号召市场营 销、财务、销售、运营以及企业内所有涉及收集、分析和以其他方式利用客户个人身 份信息（PII）的人员参与其中。通过成立GDPR工作小组，他们可以更好地为那些实 施技术和程序变革的人员提供所需的信息，同时也可以更好地处理任何会对其团队产 生影响的事件。 3. 进行风险评估 你需要了解自己公司存储和处理的欧盟公民数据，以及围绕其的安全风险。但记住， 除此以外，风险评估还必须囊括为减轻风险所采取的措施。该评估过程的一个关键任 务就是揭开可能收集和存储个人识别信息（PII）的所有影子IT （shadow IT ，即在企 1 业 IT部门以外所发生的技术投入和部署，包括个别员工、团队和业务部门所采用的云 应用程序），因为影子IT可能是造成违规行为的最大风险。 除此之外，不容忽视的风险还有很多。根据Snow Software的IT思想领袖兼高级副总 裁Matt Fisher的说法，已经有超过39,000个应用程序被用来存储个人数据。他表示， “冰山效应会对组织的GDPR合规性造成严重的风险，因为很多人只会将注意力集中 在冰面以上那10%掌握个人数据的应用程序上。由于企业IT团队对整个企业使用的应 用程序情况疏于了解，所以他们缺乏对可能威胁到GDPR合规性的应用程序的总体认 知。” Fisher继续补充道，“开始（风险评估）往往是最难的。第一步，组织必须全面了解 其整个IT基础设施，并请点所有的应用程序。清点的同时需要了解哪些应用程序能够 处理个人数据，这样能够大大缩小评估项目的范围，以及在项目上花费的时间成本。 如此才能使不可能成为可能。” 4. 雇用或任命一个数据保护官(DPO) GDPR规定拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这 根据他们是否处理敏感数据的情况而定，拥有少于250名员工的组织可能也需要指定 DPO。那么，如果你的公司内已经存在了一个发挥类似作用的人员，能够确保PII安 全是最好的。否则，你将需要重新聘请一名DPO。根据企业自身的情况，DPO可以不 要求一定是全职，在这种情况下，企业就可以选择一名兼职DPO人员。加上GDPR新 规允许一名DPO同时为多个企业工作，所以聘请一名兼职DPO人员将是一个很好的选 择。 5. 制定数据保护计划 大多数公司已经制定了相关计划，但还是需要对计划进行审查和更新，以确保其符合 GDPR要求。 6. 不要忘记移动设备 根据Lookout公司对IT和安全管理人员的调查数据显示，64%的员工会使用移动设备 访问客户、合作伙伴以及员工的个人识别信息（PII）。这种行为为GDPR合规性造成 了另一种威胁。例如，81%的受访者表示，大多数员工都被允许在办公设备（可能是 员工自己的设备）上安装个人应用程序。如果这些应用程序需要访问和存储个人识别 信息（PII），则必须按照GDPR合规要求进行操作。这一过程是很难控制的，尤其是 你需要将员工使用的所有未经授权的应用程序都考虑在内。 7. 制定一个汇报GDPR合规进度的计划 Fisher表示，“距离GDPR新规实施的日子屈指可数，组织必须证明它们正在完成 2 ‘处理活动记录’(Record of Processing Activities，简称RoPA)——根据GDPR新规 第30条规定，组织必须清点存在风险的应用程序，避免其成为监管机构的目标。建立 ‘处理活动记录’是现阶段企业需要关注的重点，因为它可以帮助企业识别处理个人 数据的具体位置、以及哪些人或程序正在处理这些数据，或这些数据是如何被处理 的。” 8. 实施降低风险的措施 一旦确定了风险并想要减轻风险，就必须实施这些安全措施。对于大多数公司来说， 这意味着需要修改现有的风险缓解措施。Fisher表示，“在清点应用程序和完成‘处 理活动记录’之后，GDPR团队就能够发现和调查与数据相关的任何风险，并确定保 护这些数据所需的适当安全级别。” 9. 如果你的企业很小，请在需要的时候寻求帮助 规模较小的公司也将会受到GDPR