本文摘自安全牛
1. 树立来自最高管理层的紧迫感
风险管理公司Marsh强调了执行领导层重视网络准备的重要性,遵守全球数据卫生标准是准备工作的一部分。
2. 号召所有的利益相关者
仅靠IT人员是无法实现GDPR合规要求的。公司可以启动一个工作小组,号召市场营销、财务、销售、运营以及企业内所有涉及收集、分析和以其他方式利用客户个人身份信息(PII)的人员参与其中。通过成立GDPR工作小组,他们可以更好地为那些实施技术和程序变革的人员提供所需的信息,同时也可以更好地处理任何会对其团队产生影响的事件。
3. 进行风险评估
你需要了解自己公司存储和处理的欧盟公民数据,以及围绕其的安全风险。但记住,除此以外,风险评估还必须囊括为减轻风险所采取的措施。该评估过程的一个关键任务就是揭开可能收集和存储个人识别信息(PII)的所有影子IT(shadow IT,即在企业IT部门以外所发生的技术投入和部署,包括个别员工、团队和业务部门所采用的云应用程序),因为影子IT可能是造成违规行为的最大风险。
除此之外,不容忽视的风险还有很多。根据Snow Software的IT思想领袖兼高级副总裁Matt Fisher的说法,已经有超过39,000个应用程序被用来存储个人数据。他表示,“冰山效应会对组织的GDPR合规性造成严重的风险,因为很多人只会将注意力集中在冰面以上那10%掌握个人数据的应用程序上。由于企业IT团队对整个企业使用的应用程序情况疏于了解,所以他们缺乏对可能威胁到GDPR合规性的应用程序的总体认知。”
Fisher继续补充道,“开始(风险评估)往往是最难的。第一步,组织必须全面了解其整个IT基础设施,并请点所有的应用程序。清点的同时需要了解哪些应用程序能够处理个人数据,这样能够大大缩小评估项目的范围,以及在项目上花费的时间成本。如此才能使不可能成为可能。”
4. 雇用或任命一个数据保护官(DPO)
GDPR规定拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这根据他们是否处理敏感数据的情况而定,拥有少于250名员工的组织可能也需要指定DPO。那么,如果你的公司内已经存在了一个发挥类似作用的人员,能够确保PII安全是最好的。否则,你将需要重新聘请一名DPO。根据企业自身的情况,DPO可以不要求一定是全职,在这种情况下,企业就可以选择一名兼职DPO人员。加上GDPR新规允许一名DPO同时为多个企业工作,所以聘请一名兼职DPO人员将是一个很好的选择。
5. 制定数据保护计划
大多数公司已经制定了相关计划,但还是需要对计划进行审查和更新,以确保其符合GDPR要求。
6. 不要忘记移动设备
根据Lookout公司对IT和安全管理人员的调查数据显示,64%的员工会使用移动设备访问客户、合作伙伴以及员工的个人识别信息(PII)。这种行为为GDPR合规性造成了另一种威胁。例如,81%的受访者表示,大多数员工都被允许在办公设备(可能是员工自己的设备)上安装个人应用程序。如果这些应用程序需要访问和存储个人识别信息(PII),则必须按照GDPR合规要求进行操作。这一过程是很难控制的,尤其是你需要将员工使用的所有未经授权的应用程序都考虑在内。
7. 制定一个汇报GDPR合规进度的计划
Fisher表示,“距离GDPR新规实施的日子屈指可数,组织必须证明它们正在完成‘处理活动记录’(Record of Processing Activities,简称RoPA)——根据GDPR新规第30条规定,组织必须清点存在风险的应用程序,避免其成为监管机构的目标。建立‘处理活动记录’是现阶段企业需要关注的重点,因为它可以帮助企业识别处理个人数据的具体位置、以及哪些人或程序正在处理这些数据,或这些数据是如何被处理的。”
8. 实施降低风险的措施
一旦确定了风险并想要减轻风险,就必须实施这些安全措施。对于大多数公司来说,这意味着需要修改现有的风险缓解措施。Fisher表示,“在清点应用程序和完成‘处理活动记录’之后,GDPR团队就能够发现和调查与数据相关的任何风险,并确定保护这些数据所需的适当安全级别。”
9. 如果你的企业很小,请在需要的时候寻求帮助
规模较小的公司也将会受到GDPR新规的影响,而且其中一些可能会表现得更为显著。这种情况下,他们可能没有所需的资源来满足GDPR合规要求。这时候,他们就可以寻求外部资源来为他们提供建议,或提供技术专家来帮助他们完成整个过程,并最大限度地避免内部中断。
10. 测试事件响应计划
GDPR要求公司在72小时内报告违规行为。响应团队如何将损害降至最低,将直接影响公司违约罚款的风险。所以,请确保您能够在这段时间内完成违规报告和响应。
11. 建立持续的评估流程
您想要确保自身保持合规,就需要进行持续地监控和改进操作。一些公司正在考虑通过奖惩制度来确保其员工遵守新的政策。根据Veritas Technologies的一项调查显示,47%的受访企业表示可能会将强制性GDPR政策加到员工合同中;25%的受访者表示,如果发生GDPR违规行为可能会扣除员工的奖金和福利;34%的受访者表示会通过奖励政策鼓励员工遵守GDPR新规。
12. 着眼改善自身业务
根据Varonis Systems的调查结果显示,74%的受访者认为符合GDPR合规要求将成为一项潜在的竞争优势。合规将提高消费者对企业的信心。更重要的是,满足GDPR合规要求所需的技术和流程改进应该能够提高组织管理和保护数据的效率。