趋势与观点 | 当隐私遇上安全
在一个数据无处不在、连接日益紧密的世界,对于安全专业人员来说,保护个人和组织的隐私可以比作试图把章鱼放进网兜:变化永远存在、挑战迂回曲折。
侵犯隐私不仅会给个人和组织带来风险,还会损害整个国家在全球的声誉。也是因为这个原因,加之合规和隐私法律会不断更新,所以隐私专业人员必须跟上变化。
从最简单的形式来看,隐私有两个关键要素:必须收集的数据和如何保护这些数据。换言之,隐私和安全是相互依存的,每个领域的专业人员必须共同努力,以达到最佳结果。
事实上,安全专业人员必须在开始实施安全和隐私治理流程前提出以下问题:
-
“正在收集哪些数据?”
-
“他们储存在哪里?”
-
“它们的用途是什么?”
-
“它们是否用于预期目的?”
-
“如何保护这些数据?”
这一过程必须与隐私专业人员一起开展,以便在两个专业领域了解所收集数据的细节。
隐私是一项团队运动
《2022年ISACA隐私实践报告》中,接受调查的大多数隐私团队由法律/合规从业者、风险专业人士、安全专业人士和IT技术人员组成。有趣的是,大多数组织表示,首席信息安全官(CISO)/首席安全官(CSO)(25%)或隐私官(21%)主要负责隐私工作。
报告中明确的隐私问责方法包括:制定隐私战略、培训和意识、隐私治理、汇报、风险评估、事件响应、控制和流程、建立安全保障、风险管理、监控合规性和分析隐私法律法规等。
从安全方面来看,除了隐私控制之外,法律层面还要求组织实施控制措施,隐私最佳实践要求采取加密技术(76%)、身份和访问管理(74%)和数据安全(71%)技术等。
确保遵守隐私法律法规和最佳实践需要团队合作,特别是安全和隐私专业人员的合作至关重要。尽管隐私专业人员了解正在收集的数据以及数据的用途,但是安全专业人员在指导如何收集数据以及最终确保数据得到保护方面发挥着关键作用。
员工如何确保数据隐私实践
确保数据隐私并遵守隐私法律法规可能是隐私团队的责任,但重要的是要认识到,所有访问关键数据的员工都必须接受数据隐私保护的培训,并对其使用现有工具和流程负责。
隐私和安全团队可以通过合作制定有意识地保护个人隐私的数据获取策略,为组织内的其他人员提供重要的指导。例如,组织的营销团队通常通过忠诚度计划和数字化活动来收集数据,他们可能会被问到:“这些数据是必要的吗?打算如何使用它们呢?”
让小企业能够获得隐私解决方案也很重要。由于他们往往缺乏留住人才所需的人力资源和预算,因此更容易面临风险。此外,应为消费者提供资源让他们能够了解自己的隐私权和责任。
毫无疑问,随着数字经济的增长,隐私挑战将成倍增长。因此,隐私和安全专业人员确保企业遵守隐私法律法规并保护客户、供应商和员工的个人数据显得至关重要。
ISACA CDPSE(国际注册数据隐私安全专家认证)能够为中国隐私保护相关人员提供针对专业经验和实施能力双重认证。目前CDPSE中文版知识体系主要包含以下四个模块:-
隐私治理
-
隐私架构
-
数据生命周期
-
中国隐私保护体系及应对
通过学习CDPSE 课程并获得认证的持证人能建立和实施复杂的隐私保护方案,能够跨越隐私合规领域的技术和法务之间的障碍,在全组织范围内协助达成关于隐私保护最佳实践的共识,确保整IT隐私保护方案,降低风险。
编者注:本文首次发表于2022年4月11日ISACA官网News and Trends /Industry News。文章内容仅代表作者本人观点。
作者:Jo Stewart-Rattray, CISA, CRISC, CISM, CGEIT,拥有超过25年的安全行业经验。她作为BRM Advisory的技术和安全保障总监,负责风险和技术问题的咨询,重点是企业的治理和IT安全。
翻译:唐雅琪(Andrea Tang),FIP, CIPP/E, CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长,任职于安永企业咨询有限公司。
校对:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、Cybersecurity Audit、CISSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA、EXIN DPO,ISACA中国技术委员会主任,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,现任某金融科技集团CSO。