审计基础:审计数据隐私吗

我认为自己是一个注重隐私的人，所以，很自然地，这种倾向反映在我的网上简介上. 我有脸书和Instagram账号, 但这些最初是用来监控我孩子们的在线活动的，我很少, if ever, post on them. 我也有Twitter和LinkedIn账户, 我用它来发布技术-, 审计和网络安全相关新闻. 我唯一真正的在线形象反映在这个专栏中, 相关的博客和任何ISACA发布的推广这些内容的帖子.

那么，我的隐私得到保护了吗? 随着机器学习的出现，可以用多种方式对文本进行分类. Web services¹ 使用标记的训练文本来确定情绪，性别，年龄和个性² 内容作者. 我把我以前的一些专栏文章放到了这个网站上，其中一些分类非常准确.

隐私是个人的权利，相信他人会恰当地、尊重地使用它, store, 分享和处置他/她的相关个人和敏感信息，并根据其收集或衍生的目的.³ 背景很重要. 我知道这个专栏是在网上发布的，不需要密码就可以访问, therefore, 我不能指望我的隐私得到充分保护.

但是，现在考虑一下您上次的审计报告. 如果用它来分类你的性格，你会有什么感觉? 你的下一次晋升会由人工智能决定吗?? 这可以接受吗?? 可能不是未经同意. 那么，我们如何通过审计来帮助减轻这种风险和其他隐私风险呢?

在之前的专栏中，^{4, 5} 我主张使用ISACA关于创建审计程序的论文.⁶ 本文将再次应用此过程为您的组织构建隐私审计程序.

确定审计主体

首先要确立的是审计主体. 在你的澳门赌场官方下载中，隐私意味着什么? 如果有不同类别的数据用于不同的业务领域, 它们可能应该被记录为单独的审计范围项目. Fundamentally, though, 考虑到隐私, 数据可以分解为存储在客户和员工身上的数据(个人的权利).⁷ 除了数据库, 档案及文件, 还必须考虑数据存储在何处和/或从何处派生数据, including:⁸

• Social media
• 云计算
• Mobile devices
• 大数据分析/机器学习/人工智能
• 物联网(IoT)
• 个人设备(自带设备)
• 跟踪/监控technologies-drones, 射频识别(RFID)标签, 闭路电视(CCTV), 全球定位卫星(GPS)设备

关键是要考虑数据的类别，并确定审计主体。. 您需要回答一个关键问题:您要审计什么?

确定审核目标

一旦确定了要审核的内容，就需要确定审核的目标. 你为什么要审计它? 从审计师的角度来看, 建议采用基于风险的观点，并据此确定目标:

• 首先，考虑隐私的七个类别:
  1. 个人隐私
  2. 行为和行动的隐私
  3. 通信隐私
  4. 数据和图像(信息)的隐私
  5. 思想和感情的隐私
  6. 地点和空间的隐私(领土)
  7. 结社隐私⁹
• 接下来，考虑七个类别的风险(figure 1).¹⁰ 隐私风险可能导致负面宣传和声誉受损，从而导致客户和经济损失, 包括罚款.
• 最后，考虑审计目标. 这可能包括遵守法律和法规(例如.g.美国健康保险流通与责任法案(HIPAA)，¹¹ 欧盟一般资料保护规例(GDPR)^{12, 13})，并可能使用国际标准化组织(ISO)和国际电工委员会(IEC) ISO/IEC 29100:2011等框架 信息技术-安全技术-隐私框架.¹⁴ 但是，我也建议考虑ISACA隐私原则 (figure 2)作为审核目标. Why? 因为这些原则是通过考虑隐私法而制定的, standards, 来自世界各地的框架和原则. 因此，它们可以作为一个总体框架，并可能涵盖所有隐私目标.

设置审计范围

当您确定了审核的目标时, 您应该使用范围界定流程来确定需要审计的实际数据. 换句话说，审计的限制是什么? 这可能包括特定应用程序、过程、位置或某些设备存储的数据. 同样，这应该是基于风险的.

执行审计前计划

既然您已经确定了风险，就应该对其进行评估以确定其重要性. 进行风险评估对于确定基于风险的审计的最终范围至关重要. 风险越大，对担保的需求就越大. 基于隐私原则的保证考虑包括:¹⁵

• 选择与同意-澳门赌场官方下载是否确保在将个人信息转移到其他司法管辖区之前获得适当的同意?
• 合法用途说明及使用限制-澳门赌场官方下载是否明确了收集个人信息的目的?
• 个人信息和敏感信息的生命周期-澳门赌场官方下载是否仅在必要时保留个人信息?
• 精度和质量-澳门赌场官方下载是否实施实践和流程以确保个人信息的准确性, 完整和最新的?
• 公开、透明和通知-澳门赌场官方下载是否提供有关其隐私政策和做法的清晰且易于访问的信息?
• 个人参与-澳门赌场官方下载是否为数据主体提供访问其个人信息的流程?
• 问责制-澳门赌场官方下载是否分配角色, 责任, 执行隐私流程的责任和权限?
• 安全保障措施-澳门赌场官方下载是否确保所有个人信息都有适当的安全保护措施?
• 监测、测量和报告-澳门赌场官方下载是否报告遵守政策、标准和法律?
• 防止伤害-澳门赌场官方下载是否建立流程以减轻可能发生在数据主体身上的任何个人伤害?
• 第三方/供应商管理-澳门赌场官方下载是否实施治理流程，以确保对转移给第三方的个人信息进行适当的保护和使用?
• 违反管理-澳门赌场官方下载是否建立了文件化的识别政策和支持程序, 升级和报告事件?
• 安全性和隐私的设计-澳门赌场官方下载是否确保管理层支持识别澳门赌场官方下载事件中的个人信息和隐私风险?
• 信息自由流动和合法限制-澳门赌场官方下载是否遵循适用的数据保护机构对跨境个人信息传输的要求?

与被审计单位面谈，询问应包括在审计业务范围内的活动或关注领域. 一旦主题, 明确了目标和范围, 审核团队可以确定执行审核工作所需的资源.¹⁶

确定数据收集的审计程序和步骤

在审计过程的这个阶段, 审核组应该有足够的信息来确定和选择审核方法或策略，并开始制定审核方案.¹⁷ 现在您有了足够的信息来决定希望看到哪些文档, 什么法律法规适用, the criteria, 还有你要采访的人. 但是，您确实需要定义测试步骤. 在2017年下半年, ISACA发布了一个审计/保证程序，定义了数据隐私的测试步骤.¹⁸ As always, 这应被视为一个起点，并应根据与您正在审核的组织相关的风险和标准进行调整. 值得花时间考虑风险和由此产生的保证需求(figure 3).

审计程序中的关键测试步骤与安全性相关. 然而，重要的是要记住，安全并不意味着隐私. 保密是保留对访问和披露的授权限制, 包括保护隐私和专有信息的手段.¹⁹ 隐私是安全的可能结果.²⁰

Conclusion

新兴技术将使澳门赌场官方下载获得更多的洞察力和, thus, 数据价值. 毫无疑问，这将提供竞争优势. ISACA的隐私原则可以作为与这些技术相结合的总体框架，以确保澳门赌场官方下载尊重个人的隐私权. 向这些人展示这一点也将提供竞争优势.

Endnotes

¹ ucclassify是一个免费的机器学习网络服务. http://www.uclassify.com/
² 迈尔斯和布里格斯基金会，迈尔斯-布里格斯类型指标， www.myersbriggs.org/my-mbti-personality-type/mbti-basics/
³ ISACA, ISACA隐私原则和项目管理指南, USA, 2016
⁴ Cooke, I.; “Audit Programs,” ISACA Journal, vol. 4, 2017, http://svq2.corpshort.com/resources/isaca-journal/issues
⁵ Cooke, I.; “Auditing Mobile Devices,” ISACA Journal, vol. 6, 2017, http://svq2.corpshort.com/resources/isaca-journal/issues
⁶ ISACA, 信息系统审计:工具和技术，创建审计程序, USA, 2016
⁷ Op cit ISACA, ISACA隐私原则和项目管理指南, p.11
⁸ Ibid. p. 31
⁹ Ibid. p. 28
¹⁰ Ibid. p. 31
¹¹ 美国卫生与公众服务部《澳门赌场官方软件》， http://www.hhs.gov/hipaa/index.html
¹² 欧盟委员会，2018年欧盟数据保护规则改革， http://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
¹³ Herold, R.; “Using ISACA Privacy Principles for GDPR Compliance,” COBIT Focus, August 2017
¹⁴ 国际标准化组织，ISO/IEC 29100:2011; 信息技术-安全技术-隐私框架, http://www.iso.org/standard/45123.html
¹⁵ Op cit ISACA, ISACA隐私原则和项目管理指南, p. 44
¹⁶ ISACA，审计计划活动:一步一步，2016
¹⁷ Ibid.
¹⁸ ISACA, 审计/保证程序是数据隐私吗, USA, 2017
¹⁹ Op cit ISACA, ISACA隐私原则和项目管理指南, p. 13
²⁰ Ibid.