压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

自2018年5月25日，歐盟《通用數據保護條例》GDPR（General Data Protection Regulation）正式生效以來，凡受到該條例管轄的組織都必須依照《條例》規定，證明自身的合規性，包括數據記錄和活動處理、完成隱私影響評估，以及定期執行隱私審計和政策審核。以下是專家們建議您在進行合規性審核時，應該采取的幾大關鍵步驟。

對許多組織而言，為滿足歐盟《通用數據保護條例》（GDPR）合規性而進行的準備工作是一項非常耗時的工程。不幸的是，這項工程至今尚未“完工”。如今，雖然GDPR已經正式生效，但是相關組織仍然需要定期進行內部審核，以評估自身合規水平。一旦發生違規或投訴事件時，你就會意識到記錄這些審核的能力有多么重要，因為它像我們證明了善意的努力從來不會白費，它可以幫助我們避免重大的損失。

審核工作非常重要，因為“問責制”是GDPR的原則之一，而且組織需要依照《條例》規定，定期執行隱私審計和政策審核，作為其證明自身合規性的一部分。

此外，有效的審計工作還可以幫助組織發現其計劃中的問題或錯誤，從而在發生違規事件或遭到質疑時，能夠向監管機構提交相關記錄，協助其完成相關調查。合規并不是一項“設定-忘記”的項目，組織應該遵循GDPR規定并定期進行監督審核，以確保其符合GDPR要求。

實施GDPR審核是非常重要的一項任務，它需要檢查用于處理所需任務的流程是否到位，包括數據的“可遺忘權”（Right to be Forgotten，即當用戶不再希望個人數據被處理并且數據控制者已經沒有合法理由保存該數據，用戶有權要求刪除數據）和數據可轉移權（data portability，即數據主體可以無障礙的將其個人數據以及其他數據資料從一個信息服務提供者處轉移至另外一個信息服務提供者），以及數據保護官們（data protection officers，簡稱DPOs）和員工在發生違規事件時知道應該怎么做。

通過對必要流程進行全面審計，可以為組織提供用于流程改進的依據和具體措施。此外，它也為組織提供了一個關鍵的合規要素——即證明組織在出現違規或遭遇投訴之前就已經制定了這樣的流程，并正在正常運行中。具體而言，它可以幫助提高一般調查響應準備工作，這是所有組織都應該做的事，因為它可以盡可能地降低數據丟失的風險。

GDPR審核工作可能需要涉及安全工作以外的人員，包括數據治理、IT、法律以及人力資源等方面的人員。當然，重點還需放在網絡安全項目上。為了實現GDPR的合規性審核任務，安全專家們建議組織可以采取如下關鍵步驟：

1.制定GDPR審核計劃

專家們表示，實施審核的第一步就是制定詳細的審核計劃，并明確一套書面的、可操作和可分配的流程，然后逐步按照計劃和流程完成合規性審核工作。對于那些剛剛著手制定此類計劃的人來說，ISO（國家標準組織）為他們的流程提供了模板。雖然該模板并非特定于GDPR的要求，但是它解釋了如何創建適當的可操作性計劃、詳細明確了個人的負責內容，以及何時應該采取何種行動等等。

作為初始階段的一部分，公司需要評估他們收集的歐盟居民數據，存儲位置以及處理方式和地點等信息。審核工作順利開展的重要因素之一，就是要確保正確地識別了這些數據，一旦確定，就可以按部就班的執行合規行動。

例如，是誰在負責跟蹤這些數據，以根據歐盟居民的要求來移除或轉移此類數據？你如何確保此類請求是合法的？你如何確保數據得到了正確地處理？如果要刪除數據，則需要確保包括數據備份在內的所有存儲庫都已經得到了正確地更新和清理。

因此，這份審核計劃中應該確定一種方法，以識別哪些歐盟居民的詳細信息得到了披露，以及這些記錄是否受到加密保護等。審核計劃應該顯示每個案件的處理方式。最佳實踐還將提供完整的取證審計跟蹤，以幫助應對質疑和投訴，并證明自身合規性。

在為GDPR構建審計計劃時，一定要記住，公司需要了解他們在整個生命周期中持有的數據。不幸的是，GRPR是一個模糊的規則，給我們留下了許多開放式問題，這無疑也增加了合規問題的復雜性。話雖如此，我還是建議各組織圍繞個人數據的生命周期來實施審核計劃，這包括對個人數據進行分類，管理數據風險，安全性和供應鏈等。

2.尋找GDPR合規差距并報告調查結果

在GDPR背景下，查看您當前的合規計劃，這包括處理記錄、數據主體訪問請求流程、技術和安全控制、隱私原則以及數據傳輸機制。

GDPR影響了組織內的大多數部門。審核工作的“發現階段”將包含訪談和文件/政策審查，以及任何部門處理個人數據或負責與個人數據有關的治理、運營或技術控制措施。這些因素將決定組織與GDPR規則保持一致性的能力?！鞍l現階段”應該包含組織在滿足具體合規要求方面的有效性，主要包括：

• 數據主體訪問請求；
• 隱私原則；
• 技術和安全控制；
• DPO適用性；
• 數據處理者（Data Processors）監督和合約；
• 數據泄露響應和通知監督機構和數據主體；
• 隱私影響評估方法；
• 通過設計和默認來證明數據保護；
• 持續監督合規計劃；

一旦“發現階段”完成，審核人員需要概述當前流程和任何存在出入的區域。這就涉及要生成一份報告，來顯示組織與GDPR規則保持一致性的能力。該報告可以涉獵很多內容，包含有關需要進行改進部分的詳盡結果和建議等；或者它也可以像“達標”或“未達標”評級一樣簡單，但需要注意的是，“未達標”類別下的任何內容都需要及時進行改進。

3.優先考慮并彌補GDPR合規性方面的差距

接下來，審核團隊需要根據特定區域的風險級別，來確定不合規區域的優先級。在進行補救工作時，需要采取基于風險的優先級評定方法。例如，監管機構曾在會議上表示，他們將把監管重點放在違規行為和組織促進合法主體訪問請求的能力上。如果說您的組織缺乏該領域的合規性，我們建議您及時完成補救工作。

在確定風險時應該考慮的因素還包括發生概率、與監管不一致的程度，以及發生侵權時的業務影響。從風險最高的領域開始，對“發現階段”識別出的GDPR合規性差距進行及時補救。

鑒于監管范圍和要求的廣度，單靠一個人或一個團隊根本不太可能彌補“發現階段”識別出的GDPR合規性差距。為此，組織可以向負責補救和現實截止日期的相關所有者分配任務。

在該階段的工作中，至關重要的一點就是要了解這樣一個事實：一些補救項目將比其他補救項目耗時更久。例如，技術修復和升級可能需要更多預算和人員支持；或者數據主體權（data subject rights）可能需要為那些負責最終用戶請求的前端處理團隊成員提供開發培訓。

4.測試修復成果

既然審核團隊已經投入了大量時間和資源來尋找并修復合規性差距，那么確保組織的流程和系統能夠滿足GDPR要求將至關重要。

測試并重新測試組織已經實施的控制措施，以確保彌補差距，并解決可能出現的任何問題。一旦差距彌補過程順利完成，那么確保組織的流程和系統能夠滿足GDPR要求就成為審核工作接下來要完成的重點內容。

值得注意的是，這是一個持續的過程。組織需要定期執行審核，以確保隱私和合規性計劃正在按預期運行。問責制是GDPR的一項原則，組織必須實施持續的監督和執行計劃，以測試隱私計劃在滿足GDPR要求方面的有效性。

此外，安全專家還表示，為滿足GDPR和數據隱私要求，組織還需要納入常規風險分析。法規的某些方面可能并不適用于所有公司，包括人命DPO或維護數據處理活動的記錄等。為此，審核工作本身可以幫助組織更好地理解GDPR合規性要求。

GDPR“自我審核”的額外好處

執行GDPR審核需要花費大量時間、金錢和其他資源。然而，這種投資所帶來的回報可能遠遠不止能夠幫助組織降低罰款風險。專家表示，在“自我審核”方面表現良好的積極意義遠大于執行審核所花費的成本和付出。

例如，Teradata公司的安全專家John Timmerman就將“自我審核”視為展示客戶支持的一種方式。他認為，每個受GDPR影響的營銷組織都應該成為行業領先者，在如何保護客戶資源和宣傳自身優勢方面起到行業表率作用。但是，令人驚訝的現實是，很多組織仍然簡單地將GDPR視為一個指令，而非一次實現自身發展的機遇。市場領導者應該牢牢地抓住此次發展機遇，通過向客戶展示自己如何以及為何使用這些數據為客戶提供更好的服務，來最大限度地征服人心，搶占市場。