采用私隐架构的四步方法

Minaz汗
作者: Minaz汗, CISA, CIPT
发表日期: 2021年4月1日

拥有成熟隐私保护程序的组织正在获得比平均水平更多的好处,并且发现更容易遵守新的隐私法规, 根据 思科2021年隐私基准研究. 但是建立和衡量隐私成熟度的最佳方式是什么呢? 隐私框架是评估、监控和改进隐私程序的绝佳工具. 因为目前只有少数传统的隐私框架可用(例如.g., 美国国家标准与技术研究院(NIST)隐私框架, 在这种情况下,术语“框架”的使用范围更广,包括标准和法规.g., 组织可以利用的国际标准化组织[ISO] 29100和欧盟通用数据保护条例[GDPR]), 管理和完善他们的隐私实践. 无论组织选择哪种框架, 如果实现得当,它可以提高隐私成熟度.

选择框架
许多组织在尝试解决隐私挑战(如改变监管要求)时选择一个框架, 政策/程序发生冲突或变化, 重复遵从性工作并增加操作成本. 选择一个单一的框架作为程序的基础可以解决许多这些挑战,并使其更容易适应组织和法规的变化.

但选择隐私框架并非没有障碍. 为了克服或避免这些问题,你应该问以下几个关键问题:

  • 谁应该参与其中?
  • 框架将如何使组织受益?
  • 哪些业务流程可能受到影响?
  • 组织中已经使用了哪些框架?
  • 什么法规要求(e.g., 《澳门赌场官方下载》, 《澳门赌场官方下载》, 应该考虑GDPR)?

尽管隐私框架关注的是隐私方面的努力, 它影响组织的许多其他部分,并可能与其他业务功能使用的其他框架重叠.

让不同职能的人员参与进来可能会有所帮助, 比如网络安全, IT, 信息安全, 法律, 合规, 内部审计和风险管理, 以及关键业务流程所有者. 在选择过程中包括一系列业务功能是很重要的, 但重要的是要建立一个权威机构(可能是领导组织隐私工作的人)来做出最终决定.

无论选择什么框架, 它应该支持组织目标, 澳门赌场官方下载战略和利益相关者需求. 如果它未能与这些元素中的任何一个对齐, 澳门赌场官方下载范围内的采用将会很困难, 阻碍了框架的成功.

实施你的私隐架构
在选择和采用框架时,没有放之四海而皆准的方法. 然而,采取以下四个步骤可以确保框架的有效实施:

  1. 框架和规则映射-如果一个组织需要遵守多个隐私法规, 您将需要绘制出它们如何与您的框架以及彼此重叠. 此外,这是考虑任何其他框架(例如.g., NIST网络安全框架, 组织使用ISO 27001)来确保一切都是一致的. 绘制控制区域并按规则和框架对其进行分组可以降低复杂性.
  2. 为澳门赌场官方下载量身定制-根据组织的特定隐私风险和监管要求定制您的框架将有助于使实施过程更加顺利. 这意味着修改控制以与特定的业务功能和操作环境保持一致, 哪些将需要其他业务部门的投入. 但是与其他团队一起集成您的框架应该有助于确保在澳门赌场官方下载范围内被采用.
  3. 文档-可能存在特定控制不适用于组织的情况. 记录不实现控制的业务原因是一个很好的实践. 如果维护了异常背后原因的适当文档, 它将成为今后审计和评估的资源.
  4. 沟通,成功采用的关键部分是沟通. 与组织内的核心业务团队沟通任何即将发生的变化是很重要的. 为可能因采用框架而需要进行更改的团队提供适当的支持是有益的.

选择任何框架或框架组合, 应该有一个策略来执行控制措施,以确保信息隐私和数据安全. 仅仅有一个隐私程序并在纸上使用一个框架是不够的. 组织必须有一个能够实施的过程, 管理和加强控制, 以及定期审查控制以确保有效性的过程.

隐私框架的好处
一旦组织成功地安装了隐私框架, 实施相应的控制,制定监控程序, 组织可以获得框架提供的所有好处. 这些包括:

  • 流线型的合规
  • 可衡量的结果
  • 降低成本
  • 改善风险缓解
  • 有效的项目评估
  • 与澳门赌场官方下载战略保持一致
  • 统一隐私、安全和合规工作
  • 可持续的隐私保护计划

选择和实现隐私框架需要预先投入大量的时间和精力, 但它最终为组织提供了一个有效的, 成熟的隐私程序,保护关键信息并支持业务目标.

编者按: 关于这个话题的进一步见解和例子,请阅读Minaz汗最近在《澳门赌场官方下载》上发表的文章, 《澳门赌场官方下载》 ISACA杂志,第二卷,2021年.

别忘了,澳门赌场官方软件可以 免费获得CPE 来自ISACA期刊的测验!

ISACA杂志