欢迎您访问365答案网,请分享给你的朋友!
生活常识 学习资料

数据安全--14--隐私保护治理浅析

时间:2023-06-25
一、GRC简介

GRC即治理、风险管理与合规,通过解决不确定性以及诚信行事,保障企业可靠的实现目标的能力集合,是一种企业风险治理的框架模型。

治理(G)的主要工作包括:

● 建立战略与边界。
● 组织架构与权责划分。
● 政策的制定与流程管控。
● 绩效监督。

风险管理(R)的主要工作包括:

● 风险的分类。
● 风险的评估方法。
● 风险处理。
● 风险报告机制。

合规(C)的主要工作包括:

● 各种不合规风险的文档化。
● 定义流程中的合规控制点并文档化。
● 评估控制点的有效性。
● 解决发现的合规问题。

二、隐私保护治理简介

如果企业面临较大的合规压力,可借鉴数据安全管理的相关做法以及合规要求,构建隐私保护的管理体系,包括:

● 建立隐私保护政策总纲,并在管理层达成共识。
● 建立隐私保护的组织和团队、职责分工,负责隐私保护监督、审计以及与监管机构沟通。
● 建立隐私保护的政策与框架(建立文件体系及运用于实践)。
● 确定适用的法律法规清单,并将其转化为内部文件。
● 建立隐私影响评估(PIA)或数据保护影响评估(DPIA)的方法论与操作流程。
● 隐私生命周期的管理与落地(如隐私声明、收集、数据主体同意、流转审批流程、有效期管理与数据清理等)。
● 建立数据目录以及隐私运营支撑系统,用于对隐私风险进行度量,支撑隐私保护工作的例行开展,并可用于向监管机构证明自身的合规性。
● 建立数据主体请求的相关流程和系统(用于支撑用户查询、修改、删除、撤回同意等)。
● 隐私数据泄露事件的响应与报告机制。

三、数据保护治理GRC实践

这里我们将GRC风险治理方法论融入PDCA循环来讨论隐私合规的具体实践。

3.1、计划(P)

计划阶段的主要任务包括:

G:设定目标、组织职责与问责政策、制定总体政策。
R:风险识别。
C:确定合规要求,分解重组,确定内部合规基准。

3.2、执行(D)

执行阶段的主要任务包括:

G:细化政策、监督。
R:风险评估、风险控制矩阵、融入流程、风险处置。
C:内部合规基准转化为合规控制矩阵、建立/融入流程、合规改进、建立合规记录。

3.3、检查(C)

检查阶段的主要任务包括:

G:对团队努力的成果、过程、态度进行绩效考核。
R:对风险的度量,就是用数据来量化风险,可用于各业务团队间对比,表彰先进。
C:对合规有效性的检查、合规记录的检查;这里的有效性,包括但不限于隐私声明是否经过自检、是否具备数据流转审批记录、是否具备对供应商的尽职调查记录、数据主体请求是否得到处理等。

3.4、处理(A)

处理阶段的主要任务包括:

G:依据合规检查的结果、风险度量的结果、绩效度量的结果,执行决策和问责。
R:风险总结,残余风险继续转入下一轮PDCA循环。
C:合规总结,遗留的不合规问题继续转入下一轮PDCA循环。

四、隐私保护能力成熟度

隐私保护领域常用的能力成熟度评价模型是AICPA/CICA PMM,它是由美国及加拿大会计师协会制定的,是基于GAPP(公认隐私准则)和CMM(能力成熟度模型)而发展出来的隐私成熟度模型,可用于评价企业隐私保护体系的当前水平。

然而在实践中,一般是不建议直接使用外部规范的,我们需要将其进行内部转化才行。内部转化的过程中,一般选取的指标不必很全(各业务都做得比较好的指标可以去掉,只纳入风险比较高的指标),主要目的在于驱动各业务线的合规改进。转化后的成果即内部能力成熟度模型。

以下是一般性建议,在实践中,应当根据自己企业的实际情况来制定。

能力成熟度标准参考:

级别能力简述五级持续优化级,基于量化反馈、审计的持续改进,需要大量记录作为证据四级可度量(隐私合规风险量化)或可管理(如可视化跟踪),能够通过有效性审查三级充分定义与文档化二级可重复的活动过程一级单例,基本不重复

内部能力成熟度参考:

细分领域三级(充分文档化定义)四级(可度量/可管理)组织与政策一、二、三道防线的组织体系设计与任命文件、问责制度;
相对完善的政策文件体系、流程。问责记录、对政策文件的评审记录、修订记录、审计记录隐私声明隐私声明/通知的管理规定、模板、检查表;
检查表自检记录。对自检进行量化,统一展示得分选择/同意充分保障数据主体的选择权,重要选项均需要用户主动勾选,不执行一揽子式同意;
记录用户对隐私声明的每个版本的同意情况。数据主体的同意,最化管理,可视化或可查询数据目录/分级数据分级分类的政策文件;
数据目录及数据的分级分类标识。数据统计与可视化管理数据流转数据流转的管理规定;
流转审核记录;
如涉及供应商、具备尽职调查记录、数据处理协议签署记录;
如涉及跨境,具备数据传输协议的签署记录。数据记录统计与可视化管理隐私设计设计规范、检查表;
检查表自检记录。自检结果度量
统计与分析数据主体请求管理规定、处理流程;
处理记录。数量度量(分类型统计,如销户、更正等;分业务统计各业务请求数据);
SLA度量(及时完成率等)风险评估风险管理规定、评估方法、定级标准;
评估记录。评估报告统计与分析、风险分类意识教育管理规定(从业人员资质要求、培训要求等);
培训/考试记录。培训/考试数据量化与统计分析事件管理管理规定、事件处理流程、处理记录。统计与分析

Copyright © 2016-2020 www.365daan.com All Rights Reserved. 365答案网 版权所有 备案号:

部分内容来自互联网,版权归原作者所有,如有冒犯请联系我们,我们将在三个工作时内妥善处理。