In the CISO桌面参考指南,我注意到“上下文”的概念对安全程序是多么重要. 这同样适用于我们的组织和他们各自的隐私计划. 任何隐私计划的基础都是理解——并批判性地记录——个人数据(PD)的性质和范围。, 个人身份资料(PII), 组织收集的受保护的健康信息(PHI)和其他形式的敏感个人信息(SPI), processes, 股份和保留. 在这里,上下文对于支持与数据发现和数据分类相关的关键工作是不可或缺的. 在深入探索之前, 解决数据分类和数据保留方面的挑战非常重要.
类似于数据保留, 数据分类往往是组织中的烫手山芋,对于谁应该对数据进行分类以及谁应该对数据进行分类有着模糊的理解, 通过扩展, 谁根据数据的分类来确定数据的保留期.
向模棱两可宣战
数据分类和数据保留实践过于复杂,阻碍了安全和隐私程序. In my view, 数据分类首先应受监管和/或合同环境的约束. 如果HIPAA定义PHI, 组织是否应该创建自己的受保护健康信息定义? No! 如果GDPR定义了个人数据——就像它在第4条中所做的那样——组织应该创建一个独特的定义吗? Again, no! 让法规来完成繁重的数据分类工作. 当然,这里有细微差别. “保密”的定义,“专有”和“敏感”信息应根据组织的具体情况进行界定,并由法律顾问进行定义, 执行领导团队和其他确定的关键利益相关者. 保留期也应采用类似的方法. 如果法规要求特定的数据保留期限,请实施并验证它. 不受监管和/或合同义务约束的其他数据集也应反映组织背景和组织优先事项, 认识到隐私的核心原则之一是数据收集和数据保留最小化.
除非有有效的法规或合同要求收集和保留数据, 个人资料的收集和保留应受限制,并应与所述目的有关. 太多的组织都有一个没有资金的责任,因为他们保留的个人数据不再与其声明的目的和, 如果/当有数据泄露, 这些记录背后的个人将有权获得信用监督和其他追索权, 包括在加州的个人诉讼权利(基于加州消费者隐私法), 该法案将于2023年成为加州隐私权法案(CPRA)。. 数据最小化还释放了与记录相关的存储和管理成本,这些记录不再与特定目的相关联,也不再受强制保留期限的约束.
组织背景是必须的
我们的隐私和安全计划需要组织环境来正确运作,并将这两个计划的实践与商定的风险容忍度和组织战略结合起来. 然而,这两个程序经常在真空中运行. 这种情况必须改变. 有一些简单但详细的步骤可以克服这种脱节. 从根本上, 我们可以用三个工具来丰富我们各自对组织环境的理解:业务影响分析, 材料系统(定义为那些业务流程)的数据流程图, systems, 和/或收集的应用程序, process, 或存储包含PD的数据元素, PII, SPI, PHI, etc.),以及隐私影响评估(PIAs). 成功的安全和隐私计划会很好地为这些工具投入资源和注意力. 让我们强调一下为什么BIAs、dfd和pia如此强大.
业务影响分析是治理的基础,并为组织涉众提供了详细信息的宝库. BIAs首先应该捕获组织如何获得澳门赌场官方下载价值. 实际上,什么是对组织最重要的业务过程? 在确定了这些依赖项之后,应该执行基本的依赖项分析. 具体地说, 材料业务流程是否依赖于技术, 特定数据集, 人员编制水平和能力, vendors, suppliers, locations, 或者其他变量, 以及如何管理这些依赖关系? BIAs是业务连续性和灾难恢复计划的基础,因为它们理想地提取了组织及其操作中不可或缺的那些流程的恢复点和恢复时间目标. 偏见也反映了部门的优先事项, 部门环境, 以及在应对安全时更广泛的组织优先级, 对业务有影响的环境和其他操作事件. BIAs, 类似于pia, 是否应考虑根据组织环境的变化而更新和修订的活文件. Overtime, BIAs可以变得更有用,因为它们为组织内已确定的材料过程添加了额外的上下文和细节. 虽然不一定与萨班斯-奥克斯利法案背景下的过程叙述或GDPR第30条要求的处理活动记录处于同一水平, BIAs应寻求提供已确定业务流程的基线描述. 本质上, BIA可以提供组织的重要快照, 它的业务流程, 以及与之相关的一般风险和依赖环境.
数据流程图(dfd)可用于突出显示信息如何进入组织以及在哪些部门内部, systems, 应用程序和IT基础设施处理和存储该数据. dfd是突出显示数据如何进出组织和组织的优秀工具, 从安全的角度来看, 哪里有信任的界限. 然而,需要明确的是,数据流图不需要BIAs作为开始的先决条件. 当我还是Gartner的研究方向和安全分析师时, 我谈到了构建dfd的简单方法. 就像我告诉客户的那样, “拿一张白纸, 画两条垂直线,这样就有三列了.左栏表示进入组织的个人数据的来源——无论是来自消费者还是员工——中心栏概述了这些信息是如何在内部使用的(流程), 应用程序, systems, 及资讯科技基础设施, 数据接收(存储), etc.), 右列表示组织与之共享个人数据信息的外部实体(例如.g.、数据处理机). 这两条线再次从安全角度表示信任边界,从数据和隐私治理角度表示关键分界点. BIA和dfd可以通过分析数据隐私生命周期上下文中的数据流来补充.g.(从通知、同意、收集、使用、分享、保留到销毁). 在个人资料被摄取之前, 隐私利益相关者应该验证所提供的通知是否与预期的处理活动一致. DFD可以帮助确定可能需要同意的地方,并将其标记为明确或隐含的性质. dfd的美妙之处在于,它们适合不同的受众, 比如技术团队, 行政管理, 当然, 隐私和安全负责人. dfd不需要太复杂, 从一张白纸开始, 画两条垂直线, 然后开始填写细节.
隐私影响评估是第三种工具,可以用来帮助组织获得与隐私实践以及数据发现和分类计划相关的额外上下文. 基本的“观察和查询”是对数据发现的更技术性方法的一个很好的补充. 隐私负责人需要了解澳门赌场官方下载,并与部门领导见面, 尤其是在销售方面, marketing, HR, 和资讯科技部门,以便更了解机构收集和使用的个人资料的性质和范围. PIAs, 类似于BIAs, 是否需要在个人资料处理活动中添加细节和重要背景. 上述GDPR第30条提供了很好的见解,说明在这些评估中应该捕获什么. 最关键的是评估私隐通知(政策)所载的收集个人资料的目的,以及这些预期的做法是否反映了实际的做法. 哪里有脱节, 隐私负责人应该向行政领导团队的其他成员提出这种风险. 《澳门赌场官方软件》(由联邦贸易委员会监督)第5条明确禁止“不公平和欺骗性的贸易行为”.“联邦贸易委员会果断地对那些说一套做一套的组织采取行动. PIAs, like BIAs, 是否应该考虑在整个组织和整个隐私生命周期中促进对隐私实践的持续意识的活文档. 有效地, 隐私负责人应该不断地问自己:“关于公司的隐私惯例,有哪些是我不知道的,而我应该知道的。, 以及我如何确定这种状态?BIAs、dfd和pia可以帮助回答这个基本问题.
从这三个工具中获得的见解是组织治理和风险管理实践的基础. 此外,ISACA的核心知识体系 CDPSE, CRISC, CISA, CGEIT and CISM 认证帮助隐私和安全领导者了解治理和技术之间的关键联系, 并为各自的组织进行适当的风险管理.
编者按: 有关ISACA的其他数据隐私见解,请 请访问我们的2022隐私资源页面.
作者简介: 马特印章, CISA, CISM, CRISC, CDPSE, CIPP/US, 是EVOTEK的首席信息安全官和执行顾问,也是圣地亚哥ISACA分会的董事会成员吗. Matt是CISO桌面参考指南(第一卷)的合著者 & 他即将出版一本关于隐私的书,以及一本针对高级领导人的高管安全入门书. Matt是ISACA的一名自豪的成员,并从全球隐私中受益, security, 风险管理, 以及ISACA所倡导的治理澳门赌场官方下载.
