GDPR合规审核需要遵循的4大关键步骤
自2018年5月25日起,欧盟《通用数据保护条例》GDPR(General Data Protection Regulation)自正式生效以来,所有受本条例管辖的组织都必须证明其合规性,包括数据记录和活动处理、隐私影响评估的完成、隐私审计和政策审计的定期实施。以下是专家建议您在进行合规审计时应采取的几个关键步骤。
对许多组织来说,为了满足《欧盟通用数据保护条例》(GDPR)合规的准备工作是一个非常耗时的项目。不幸的是,该项目尚未完成“完工”。如今,虽然GDPR它已经正式生效,但相关组织仍需要定期进行内部审计,以评估其合规水平。一旦发生非法或投诉,你就会意识到记录这些审计的能力有多重要,因为它证明了善意的努力永远不会徒劳,它可以帮助我们避免重大损失。
审计工作非常重要,因为“问责制”是GDPR其原则之一,组织需要定期执行隐私审计和政策审计,以证明其合规性。
此外,有效的审计工作还可以帮助组织在计划中发现问题或错误,以便在发生违规事件或质疑时向监管机构提交相关记录,帮助其完成相关调查。合规性不是一个问题“设定-忘记”组织应遵循的项目GDPR规定并定期进行监督审查,以确保其符合要求GDPR要求。
实施GDPR审计是一项非常重要的任务,需要检查处理所需任务的过程是否到位,包括数据“可遗忘权”(Right to be Forgotten,即当用户不再希望处理个人数据,数据控制器没有合法理由保存数据时,用户有权要求删除数据)和数据可转移权(data portability,也就是说,数据主体可以无障碍地将其个人数据和其他数据数据从一个信息服务提供商转移到另一个信息服务提供商),以及数据保护官员(data protection officers,简称DPOs)员工知道在发生违规行为时该怎么办。
全面审计必要的流程,可以为组织提供流程改进的依据和具体措施。此外,它还为组织提供了关键的合规因素——也就是说,证明组织在违规或投诉之前就已经制定了这样的过程,并且正在正常运行。具体来说,它可以帮助改所有组织都应该做的一般调查响应准备,因为它可以尽可能降低数据丢失的风险。
GDPR审核工作可能需要涉及安全工作以外的人员,包括数据治理、IT、法律和人力资源方面的人员。当然,重点是 *** 安全项目。为了实现GDPR安全专家建议,组织可以采取以下关键步骤:
1. 制定GDPR审核计划
专家表示,审计的实施***之一步是制定详细的审计计划,明确一套书面、可操作、可分配的流程,然后根据计划和流程逐步完成合规的审计工作。对于那些刚开始制定这些计划的人,ISO(国家标准组织)为他们的流程提供模板。虽然模板不是特定的GDPR的要求,但是它解释了如何创建适当的可操作性计划、详细明确了个人的负责内容,以及何时应该采取何种行动等等。
作为初始阶段的一部分,公司需要评估其收集的欧盟居民数据、存储位置、处理 *** 和位置。审计顺利进行的重要因素之一是确保这些数据的正确识别。一旦确定,合规行动可以一步一步地执行。
例如,谁负责跟踪这些数据,并根据欧盟居民的要求删除或转移这些数据?您如何确保此类请求是合法的?您如何确保正确处理数据?如果您想删除数据,您需要确保所有存储库,包括数据备份,都已正确更新和清理。
因此,应确定一种 *** 来确定哪些欧盟居民的详细信息被披露,以及这些记录是否受到加密保护。审计计划应显示每个案件的处理 *** 。***实践还将提供完整的证据收集审计跟踪,以帮助处理问题和投诉,并证明其合规性。
在为GDPR在构建审计计划时,公司需要了解其在整个生命周期中持有的数据。不幸的是,GRPR这是一个模糊的规则,给我们留下了许多开放的问题,这无疑增加了合规问题的复杂性。尽管如此,我建议各组织围绕个人数据的生命周期实施审计计划,包括对个人数据进行分类、管理数据风险、安全性和供应链。
2. 寻找GDPR报告调查结果
在GDPR查看您当前的合规计划,包括处理记录、数据主体访问请求流程、技术与安全控制、隐私原则和数据传输机制。
GDPR影响组织内大部分部门。审计工作“发现阶段”它将包括访谈和文件/政策审查,以及任何部门处理个人数据或负责与个人数据相关的治理、运营或技术控制措施。这些因素将决定组织和GDPR保持规则一致性的能力。“发现阶段”应包括组织在满足具体合规要求方面的有效性,主要包括:
- 数据主体访问请求;
- 隐私原则;
- 技术和安全控制;
- DPO适用性;
- 数据处理者(Data Processors)监督合同;
- 监督机构和数据主体的数据泄露响应和通知;
- 隐私影响评估 *** ;
- 数据保护通过设计和默认证明;
- 继续监督合规计划;
一旦“发现阶段”完成后,审计人员需要概述当前流程和任何区域。这涉及到生成组织和显示组织的报告GDPR保持规则一致性的能力。该报告可涉及许多内容,包括需要改进的详细结果和建议;或者它也可以像“达标”或“未达标”评分一样简单,但需要注意的是,“未达标”类别下的任何内容都需要及时改进。
3. 优先考虑和弥补GDPR合规差距
其次,审计团队需要根据特定区域的风险水平来确定不合规区域的优先级。在补救工作中,需要采取基于风险的优先评估 *** 。例如,监管机构曾在会议上表示,他们将重点关注非法行为和组织促进合法主体访问请求的能力。如果您的组织在该领域缺乏合规性,我们建议您及时完成补救工作。
确定风险时应考虑的因素还包括概率、与监管的不一致性和侵权时的业务影响。***是的“发现阶段”识别出的GDPR及时补救合规差距。
鉴于监管范围和要求的广度,单靠一个人或一个团队是不可能弥补的“发现阶段”识别出的GDPR合规性差距。因此,组织可以将任务分配给负责补救和实际截止日期的相关所有者。
在这一阶段的工作中,了解一些补救项目将比其他补救项目的事实是非常重要的。例如,技术修复和升级可能需要更多的预算和人员支持;或数据主体权利(data subject rights)可能需要为负责最终用户请求的前端处理团队成员提供开发培训。
4. 测试修复结果
由于审计团队投入了大量的时间和资源来寻找和修复合规差距,因此确保组织流程和系统能够满足要求GDPR要求将至关重要。
测试和重新测试组织实施的控制措施,以确保弥补差距,并解决任何可能的问题。一旦差距弥补过程顺利完成,确保组织的过程和系统得到满足GDPR要求成为审计工作的关键内容。
值得注意的是,这是一个持续的过程。组织需要定期审查,以确保隐私和合规计划按预期运行。问责制是GDPR组织必须实施持续的监督和实施计划,以测试隐私计划GDPR要求有效性。
此外,安全专家还表示,为了满足GDPR以及数据隐私要求,组织还需要纳入常规风险分析。法律法规的某些方面可能不适用于所有公司,包括生命DPO或者维护数据处理活动的记录。因此,审计本身可以帮助组织更好地理解它GDPR合规要求。
GDPR“自我审核”的额外好处
执行GDPR审计需要花费大量的时间、金钱和其他资源。然而,这种投资的回报可能远远超过帮助组织降低罚款风险。专家说,在“自我审核”良好表现的积极意义远大于实施审计的成本和支付。
例如,Teradata公司安全专家John Timmerman就将“自我审核”它被视为展示客户支持的一种方式。他认为,每个人都受到影响GDPR影响营销组织应成为行业领导者,在如何保护客户资源和宣传自身优势方面发挥行业模范作用。然而,令人惊讶的现实是,许多组织仍然只是GDPR它被视为指令,而不是实现自身发展的机会。***我们应该牢牢把握发展机遇,向客户展示我们如何使用这些数据,为客户提供更好的服务***征服人心,抢占市场。
【本文是51CTO专栏作者“”李少鹏“”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。