隐私保护治理浅析

本博客地址:https://security.blog.csdn.net/article/details/122913754

一、GRC简介

GRC即治理、风险管理与合规,通过解决不确定性以及诚信行事,保障企业可靠的实现目标的能力集合,是一种企业风险治理的框架模型。

治理(G)的主要工作包括:

● 建立战略与边界。
● 组织架构与权责划分。
● 政策的制定与流程管控。
● 绩效监督。

风险管理(R)的主要工作包括:

● 风险的分类。
● 风险的评估方法。
● 风险处理。
● 风险报告机制。

合规(C)的主要工作包括:

● 各种不合规风险的文档化。
● 定义流程中的合规控制点并文档化。
● 评估控制点的有效性。
● 解决发现的合规问题。

二、隐私保护治理简介

如果企业面临较大的合规压力,可借鉴数据安全管理的相关做法以及合规要求,构建隐私保护的管理体系,包括:

● 建立隐私保护政策总纲,并在管理层达成共识。
● 建立隐私保护的组织和团队、职责分工,负责隐私保护监督、审计以及与监管机构沟通。
● 建立隐私保护的政策与框架(建立文件体系及运用于实践)。
● 确定适用的法律法规清单,并将其转化为内部文件。
● 建立隐私影响评估(PIA)或数据保护影响评估(DPIA)的方法论与操作流程。
● 隐私生命周期的管理与落地(如隐私声明、收集、数据主体同意、流转审批流程、有效期管理与数据清理等)。
● 建立数据目录以及隐私运营支撑系统,用于对隐私风险进行度量,支撑隐私保护工作的例行开展,并可用于向监管机构证明自身的合规性。
● 建立数据主体请求的相关流程和系统(用于支撑用户查询、修改、删除、撤回同意等)。
● 隐私数据泄露事件的响应与报告机制。

三、数据保护治理GRC实践

这里我们将GRC风险治理方法论融入PDCA循环来讨论隐私合规的具体实践。

3.1、计划(P)

计划阶段的主要任务包括:

G:设定目标、组织职责与问责政策、制定总体政策。
R:风险识别。
C:确定合规要求,分解重组,确定内部合规基准。

3.2、执行(D)

执行阶段的主要任务包括:

G:细化政策、监督。
R:风险评估、风险控制矩阵、融入流程、风险处置。
C:内部合规基准转化为合规控制矩阵、建立/融入流程、合规改进、建立合规记录。

3.3、检查(C)

检查阶段的主要任务包括:

G:对团队努力的成果、过程、态度进行绩效考核。
R:对风险的度量,就是用数据来量化风险,可用于各业务团队间对比,表彰先进。
C:对合规有效性的检查、合规记录的检查;这里的有效性,包括但不限于隐私声明是否经过自检、是否具备数据流转审批记录、是否具备对供应商的尽职调查记录、数据主体请求是否得到处理等。

3.4、处理(A)

处理阶段的主要任务包括:

G:依据合规检查的结果、风险度量的结果、绩效度量的结果,执行决策和问责。
R:风险总结,残余风险继续转入下一轮PDCA循环。
C:合规总结,遗留的不合规问题继续转入下一轮PDCA循环。

四、隐私保护能力成熟度

隐私保护领域常用的能力成熟度评价模型是AICPA/CICA PMM,它是由美国及加拿大会计师协会制定的,是基于GAPP(公认隐私准则)和CMM(能力成熟度模型)而发展出来的隐私成熟度模型,可用于评价企业隐私保护体系的当前水平。

然而在实践中,一般是不建议直接使用外部规范的,我们需要将其进行内部转化才行。内部转化的过程中,一般选取的指标不必很全(各业务都做得比较好的指标可以去掉,只纳入风险比较高的指标),主要目的在于驱动各业务线的合规改进。转化后的成果即内部能力成熟度模型

以下是一般性建议,在实践中,应当根据自己企业的实际情况来制定。

能力成熟度标准参考:

级别能力简述
五级持续优化级,基于量化反馈、审计的持续改进,需要大量记录作为证据
四级可度量(隐私合规风险量化)或可管理(如可视化跟踪),能够通过有效性审查
三级充分定义与文档化
二级可重复的活动过程
一级单例,基本不重复

内部能力成熟度参考:

细分领域三级(充分文档化定义)四级(可度量/可管理)
组织与政策一、二、三道防线的组织体系设计与任命文件、问责制度;
相对完善的政策文件体系、流程。
问责记录、对政策文件的评审记录、修订记录、审计记录
隐私声明隐私声明/通知的管理规定、模板、检查表;
检查表自检记录。
对自检进行量化,统一展示得分
选择/同意充分保障数据主体的选择权,重要选项均需要用户主动勾选,不执行一揽子式同意;
记录用户对隐私声明的每个版本的同意情况。
数据主体的同意,最化管理,可视化或可查询
数据目录/分级数据分级分类的政策文件;
数据目录及数据的分级分类标识。
数据统计与可视化管理
数据流转数据流转的管理规定;
流转审核记录;
如涉及供应商、具备尽职调查记录、数据处理协议签署记录;
如涉及跨境,具备数据传输协议的签署记录。
数据记录统计与可视化管理
隐私设计设计规范、检查表;
检查表自检记录。
自检结果度量
统计与分析
数据主体请求管理规定、处理流程;
处理记录。
数量度量(分类型统计,如销户、更正等;分业务统计各业务请求数据);
SLA度量(及时完成率等)
风险评估风险管理规定、评估方法、定级标准;
评估记录。
评估报告统计与分析、风险分类
意识教育管理规定(从业人员资质要求、培训要求等);
培训/考试记录。
培训/考试数据量化与统计分析
事件管理管理规定、事件处理流程、处理记录。统计与分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值