数据隐私日是每年1月28日庆祝。它是一个全球性的事件提醒我们作为消费者我们的责任和组织意识到我们如何分享、存储和保护个人信息。新在家工作的规范和消费者合同跟踪应用程序是2020的解决方案,如何组织的传统上维护数据进一步复杂化。亚愽体育app下载适应这些和未来的变化,组织需要通过企业级项目建立一个坚实的基础。
在这篇文章中,我们将概述的步骤需要得到一个企业数据保护程序将利用数据治理的核心原则。这些步骤关闭之间的差距,有一个巨大的股份得到正确的数据保护措施到位,那些忙于地理防御,掩蔽和其他实物保护措施。这些指南将形成数据保护的基本框架,是准备支持王冠的概念,GDPR等等。
5个步骤构建一个企业数据保护框架
1。确定业务数据所有者
数据治理带来的一个最重要的变化是一个组织内的数据所有者的识别业务(数据公民)。这些老板也将扮演一个关键的角色在建立我们的数据保护程序。毕竟,他们是最好的来源,知道关键数据被存储和处理。可能已经有一个列表的应用程序在您的组织或你可能要问每个公民登记每个应用程序/数据存储或数据处理活动。
最终的结果将是一个注册的所有应用程序,他们的背景下,公民的数据,使用它们。
2。定义一个敏感数据元素的分类
的核心数据保护程序,你就会拥有一个分类的关键或敏感数据元素(SDE)。元素,如指纹、客户联系信息,社会安全号码,或员工的背景调查。从这个分类,每个数据公民将资产,他们使用在他们的应用程序或处理活动,连同其他上下文等目的,位置和更多。
在这个分类中,每个钻会有指定的分类,例如:
- 保密:所需的水平的保密和意想不到的披露成本/风险的影响
- 完整性:宽容(或没有)的任何部分信息可以完全被改变或丢失
- 可用性:是多么的重要,及时获得信息,当我们需要它吗
- 同意:是否有法律要求或限制,影响信息可以去的地方。这适用于个人信息。
3所示。指定合规控制
根据分配的数据元素及其分类,每个管理应用程序分配一个保密分类(即公开、内部机密)。这个任务是一组安全与合规控制理想情况下拥有和由数据保护官员(数。这些控件将会非常不同的公共数据比限制数据。每个控制管理在治理功能与预期的答案。
通过把这些企业主控制问题的问卷调查,你可以控制他们的评估,哪些缺乏。或者,您可能想要使用你的GRC(治理、风险和合规)工具。
4所示。跟踪空白和漏洞,无论多么小
这个练习之后,你最终会得到一个基线视图的应用程序或处理活动是最危险的,什么类型的风险。每一项不符合的变成了一个缺口,一个数据问题,数据所有者需要与首席信息安全官(CISO)和安全经理实施正确的控制。这就是实际的保护有:我们将哪些数据加密?我们将geo-fence什么呢?什么不应该在线吗?我们保证数据超过我们应该吗?我们应该要求同意我们的用户在哪里?
除了这些差异我们可以开始跟踪数据泄露或违规行为——无论多么小——每个应用程序我们可以开始看到事件之间的关系和影响他们对LOB的企业主和风险类型。预防最后是终极目标。
5。向董事会汇报
它将数据治理委员会的责任使用热量地图和KPI的走出我们的持续合作和监督努力更新。所有关键的360度视图应用程序和它们的资产,与业务部门与差距的迹象和风险将是一个巨大的差异使他们了解他们的水平。应用管理,我们有一个数据保护框架,反映了生活的我们的业务。
企业级数据保护的挑战
当你遵循企业数据保护框架,将重要考虑前面的挑战。你会遇到需要时间和利益相关者在整个组织的支持。
追求的行动,使您的组织能够维持隐私举措,新规定新规定后,包括识别正确的数据所有者,特别是那些负责业务应用程序和系统保存敏感数据元素。一旦确定,数据所有者将需要注册处理活动和保持这些记录。很有可能数据保护官员(数需要提示,提醒,确保数据所有者之间的持续符合。这些步骤转化为一个持续的过程,需要时间和跨团队协调。
执行企业数据保护框架的输出应该产生一个基线视图的应用程序和处理是最危险的活动。解决这些差距,组织可能会考虑采用正确的数据访问控制或加密敏感数据元素。当这条路选择,取决于组织的角色和职责,到警区办公室访问可能需要进行网络安全或数据操作团队进行进一步的行动。
建立一个有效的数据保护框架
一旦你确定适当的数据所有者和敏感数据元素的分类定义,你将准备采取行动通过分配合规控制。你也会准备监控潜在的合规差距和向董事会报告的主要应解决的风险。
这些天,意想不到的风险来自组织内部的或通过几谦逊的点击别人的设备在家里。数据是奖,它需要被保护在一个可持续的方式,使组织适应变化迅速和有效地。2021年为组织提供了一个新的机会,积极采用或加强他们的隐私合规程序在企业数据保护框架。
