第 5 天:采用隐私框架
采用隐私框架的四步方法
作者:米纳兹·汗,CISA,CIPT
出版日期:2021 年 4 月 1 日
根据思科 2021 年隐私基准研究,拥有成熟隐私计划的组织比平均水平获得更多好处,并且更容易遵守新的隐私法规。但建立和衡量隐私成熟度的最佳方法是什么?隐私框架是评估、监控和改进隐私计划的绝佳工具。由于目前只有少数传统的隐私框架可用(例如,国家标准与技术研究所 [NIST] 隐私框架),因此在这种情况下,术语 “框架” 被更广泛地使用以包括标准和法规(例如, 国际标准化组织 [ISO] 29100 和欧盟通用数据保护条例 [GDPR]),组织可以利用它们来构建、管理和完善其隐私实践。无论组织选择哪个框架,如果实施得当,它都可以提高隐私成熟度。
如何选择一个隐私框架
许多组织在尝试解决隐私挑战时选择一个框架,例如不断变化的监管要求、相互冲突或改变的政策/程序、重复的合规工作以及运营成本的增加。选择单一框架作为计划的基础可以解决许多此类挑战,并使其更容易适应组织和监管变化。
但选择隐私框架并非没有其自身的障碍。为了克服或避免这些问题,应该提出几个关键问题:
- 谁应该参加?
- 框架将如何使组织受益?
- 哪些业务流程可能会受到影响?
- 该组织已经使用了哪些框架?
- 应考虑哪些监管要求(例如,医疗保险可移植性和责任法案 [HIPAA]、加州消费者隐私法案 [CCPA]、GDPR)?
尽管隐私框架侧重于隐私工作,但它会影响组织的许多其他部分,并可能与其他业务职能部门使用的其他框架重叠。
让网络安全、IT、信息安全、法律、合规、内部审计和风险管理等各种职能部门的人员以及关键业务流程所有者参与进来可能会有所帮助。在选择过程中纳入一系列业务职能很重要,但建立一个机构(可能是领导组织隐私工作的人)来做出最终决定也很重要。
无论选择什么框架,它都应该支持组织目标、企业战略和利益相关者的需求。如果它不能与这些要素中的任何一个保持一致,那么整个企业的采用将会很困难,从而阻碍该框架的成功。
实施您的隐私框架
在选择和采用框架时,没有一刀切的方法。然而,采取以下四个步骤可以确保框架实施的有效性:
- 框架与法规映射
如果组织需同时遵循多个隐私法规,应先将这些法规与所选框架进行映射。同时考虑其它已有框架(如 NIST 网络安全框架、ISO 27001),确保彼此协调。通过对控制点进行归类和分组,可以降低复杂度。 - 定制化适配组织
框架需要根据组织的隐私风险和监管要求进行本地化适配,包括按业务流程调整控制项,匹配实际运营环境。这需要跨部门协作,有助于框架在企业内部广泛落地。 - 文档记录
在某些情况下,特定控制可能不适用于组织。记录不实施控制的业务原因是很好的做法。如果保留有关异常背后原因的适当文件,它将为我们未来的任何审计和评估提供资源。 - 有效沟通
成功采用的一个关键部分是沟通。与组织内的核心业务团队沟通任何即将发生的变化非常重要。为因框架采用而可能需要做出更改的团队提供适当的支持是有益的。
隐私框架带来的好处
一旦框架成功部署并实施相应控制措施,同时建立起监控机制,组织将能够获得以下好处:
- 合规性流程更高效
- 结果可度量、可量化
- 降低运营成本
- 风险缓解能力提升
- 隐私项目评估更有效
- 与企业战略保持一致
- 实现隐私、安全、合规的统一管理
- 建立可持续的隐私体系
虽然选择和实施隐私框架需要投入大量前期时间和资源,但这项投资最终将为组织带来一个成熟、可靠的隐私管理体系,保护关键数据,并支撑企业战略目标。
编者注:有关此主题的更多见解和示例,请阅读 Minaz Khan 最近的期刊文章,