自2018年5月25日，歐盟《通用數(shù)據(jù)保護(hù)條例》GDPR(General Data Protection Regulation)正式生效以來，凡受到該條例管轄的組織都必須依照《條例》規(guī)定，證明自身的合規(guī)性，包括數(shù)據(jù)記錄和活動處理、完成隱私影響評估，以及定期執(zhí)行隱私審計和政策審核。以下是專家們建議您在進(jìn)行合規(guī)性審核時，應(yīng)該采取的幾大關(guān)鍵步驟。

[[239175]]

對許多組織而言，為滿足歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)合規(guī)性而進(jìn)行的準(zhǔn)備工作是一項非常耗時的工程。不幸的是，這項工程至今尚未“完工”。如今，雖然GDPR已經(jīng)正式生效，但是相關(guān)組織仍然需要定期進(jìn)行內(nèi)部審核，以評估自身合規(guī)水平。一旦發(fā)生違規(guī)或投訴事件時，你就會意識到記錄這些審核的能力有多么重要，因為它像我們證明了善意的努力從來不會白費(fèi)，它可以幫助我們避免重大的損失。

審核工作非常重要，因為“問責(zé)制”是GDPR的原則之一，而且組織需要依照《條例》規(guī)定，定期執(zhí)行隱私審計和政策審核，作為其證明自身合規(guī)性的一部分。

此外，有效的審計工作還可以幫助組織發(fā)現(xiàn)其計劃中的問題或錯誤，從而在發(fā)生違規(guī)事件或遭到質(zhì)疑時，能夠向監(jiān)管機(jī)構(gòu)提交相關(guān)記錄，協(xié)助其完成相關(guān)調(diào)查。合規(guī)并不是一項“設(shè)定-忘記”的項目，組織應(yīng)該遵循GDPR規(guī)定并定期進(jìn)行監(jiān)督審核，以確保其符合GDPR要求。

實施GDPR審核是非常重要的一項任務(wù)，它需要檢查用于處理所需任務(wù)的流程是否到位，包括數(shù)據(jù)的“可遺忘權(quán)”(Right to be Forgotten，即當(dāng)用戶不再希望個人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒有合法理由保存該數(shù)據(jù)，用戶有權(quán)要求刪除數(shù)據(jù))和數(shù)據(jù)可轉(zhuǎn)移權(quán)(data portability，即數(shù)據(jù)主體可以無障礙的將其個人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個信息服務(wù)提供者處轉(zhuǎn)移至另外一個信息服務(wù)提供者)，以及數(shù)據(jù)保護(hù)官們(data protection officers，簡稱DPOs)和員工在發(fā)生違規(guī)事件時知道應(yīng)該怎么做。

通過對必要流程進(jìn)行全面審計，可以為組織提供用于流程改進(jìn)的依據(jù)和具體措施。此外，它也為組織提供了一個關(guān)鍵的合規(guī)要素——即證明組織在出現(xiàn)違規(guī)或遭遇投訴之前就已經(jīng)制定了這樣的流程，并正在正常運(yùn)行中。具體而言，它可以幫助提高一般調(diào)查響應(yīng)準(zhǔn)備工作，這是所有組織都應(yīng)該做的事，因為它可以盡可能地降低數(shù)據(jù)丟失的風(fēng)險。

GDPR審核工作可能需要涉及安全工作以外的人員，包括數(shù)據(jù)治理、IT、法律以及人力資源等方面的人員。當(dāng)然，重點還需放在網(wǎng)絡(luò)安全項目上。為了實現(xiàn)GDPR的合規(guī)性審核任務(wù)，安全專家們建議組織可以采取如下關(guān)鍵步驟：

1. 制定GDPR審核計劃

專家們表示，實施審核的***步就是制定詳細(xì)的審核計劃，并明確一套書面的、可操作和可分配的流程，然后逐步按照計劃和流程完成合規(guī)性審核工作。對于那些剛剛著手制定此類計劃的人來說，ISO(國家標(biāo)準(zhǔn)組織)為他們的流程提供了模板。雖然該模板并非特定于GDPR的要求，但是它解釋了如何創(chuàng)建適當(dāng)?shù)目刹僮餍杂媱?、詳?xì)明確了個人的負(fù)責(zé)內(nèi)容，以及何時應(yīng)該采取何種行動等等。

作為初始階段的一部分，公司需要評估他們收集的歐盟居民數(shù)據(jù)，存儲位置以及處理方式和地點等信息。審核工作順利開展的重要因素之一，就是要確保正確地識別了這些數(shù)據(jù)，一旦確定，就可以按部就班的執(zhí)行合規(guī)行動。

例如，是誰在負(fù)責(zé)跟蹤這些數(shù)據(jù)，以根據(jù)歐盟居民的要求來移除或轉(zhuǎn)移此類數(shù)據(jù)?你如何確保此類請求是合法的?你如何確保數(shù)據(jù)得到了正確地處理?如果要刪除數(shù)據(jù)，則需要確保包括數(shù)據(jù)備份在內(nèi)的所有存儲庫都已經(jīng)得到了正確地更新和清理。

因此，這份審核計劃中應(yīng)該確定一種方法，以識別哪些歐盟居民的詳細(xì)信息得到了披露，以及這些記錄是否受到加密保護(hù)等。審核計劃應(yīng)該顯示每個案件的處理方式。***實踐還將提供完整的取證審計跟蹤，以幫助應(yīng)對質(zhì)疑和投訴，并證明自身合規(guī)性。

在為GDPR構(gòu)建審計計劃時，一定要記住，公司需要了解他們在整個生命周期中持有的數(shù)據(jù)。不幸的是，GRPR是一個模糊的規(guī)則，給我們留下了許多開放式問題，這無疑也增加了合規(guī)問題的復(fù)雜性。話雖如此，我還是建議各組織圍繞個人數(shù)據(jù)的生命周期來實施審核計劃，這包括對個人數(shù)據(jù)進(jìn)行分類，管理數(shù)據(jù)風(fēng)險，安全性和供應(yīng)鏈等。

2. 尋找GDPR合規(guī)差距并報告調(diào)查結(jié)果

在GDPR背景下，查看您當(dāng)前的合規(guī)計劃，這包括處理記錄、數(shù)據(jù)主體訪問請求流程、技術(shù)和安全控制、隱私原則以及數(shù)據(jù)傳輸機(jī)制。

GDPR影響了組織內(nèi)的大多數(shù)部門。審核工作的“發(fā)現(xiàn)階段”將包含訪談和文件/政策審查，以及任何部門處理個人數(shù)據(jù)或負(fù)責(zé)與個人數(shù)據(jù)有關(guān)的治理、運(yùn)營或技術(shù)控制措施。這些因素將決定組織與GDPR規(guī)則保持一致性的能力。“發(fā)現(xiàn)階段”應(yīng)該包含組織在滿足具體合規(guī)要求方面的有效性，主要包括：

• 數(shù)據(jù)主體訪問請求;
• 隱私原則;
• 技術(shù)和安全控制;
• DPO適用性;
• 數(shù)據(jù)處理者(Data Processors)監(jiān)督和合約;
• 數(shù)據(jù)泄露響應(yīng)和通知監(jiān)督機(jī)構(gòu)和數(shù)據(jù)主體;
• 隱私影響評估方法;
• 通過設(shè)計和默認(rèn)來證明數(shù)據(jù)保護(hù);
• 持續(xù)監(jiān)督合規(guī)計劃;

一旦“發(fā)現(xiàn)階段”完成，審核人員需要概述當(dāng)前流程和任何存在出入的區(qū)域。這就涉及要生成一份報告，來顯示組織與GDPR規(guī)則保持一致性的能力。該報告可以涉獵很多內(nèi)容，包含有關(guān)需要進(jìn)行改進(jìn)部分的詳盡結(jié)果和建議等;或者它也可以像“達(dá)標(biāo)”或“未達(dá)標(biāo)”評級一樣簡單，但需要注意的是，“未達(dá)標(biāo)”類別下的任何內(nèi)容都需要及時進(jìn)行改進(jìn)。

3. 優(yōu)先考慮并彌補(bǔ)GDPR合規(guī)性方面的差距

接下來，審核團(tuán)隊需要根據(jù)特定區(qū)域的風(fēng)險級別，來確定不合規(guī)區(qū)域的優(yōu)先級。在進(jìn)行補(bǔ)救工作時，需要采取基于風(fēng)險的優(yōu)先級評定方法。例如，監(jiān)管機(jī)構(gòu)曾在會議上表示，他們將把監(jiān)管重點放在違規(guī)行為和組織促進(jìn)合法主體訪問請求的能力上。如果說您的組織缺乏該領(lǐng)域的合規(guī)性，我們建議您及時完成補(bǔ)救工作。

在確定風(fēng)險時應(yīng)該考慮的因素還包括發(fā)生概率、與監(jiān)管不一致的程度，以及發(fā)生侵權(quán)時的業(yè)務(wù)影響。從風(fēng)險***的領(lǐng)域開始，對“發(fā)現(xiàn)階段”識別出的GDPR合規(guī)性差距進(jìn)行及時補(bǔ)救。

鑒于監(jiān)管范圍和要求的廣度，單靠一個人或一個團(tuán)隊根本不太可能彌補(bǔ)“發(fā)現(xiàn)階段”識別出的GDPR合規(guī)性差距。為此，組織可以向負(fù)責(zé)補(bǔ)救和現(xiàn)實截止日期的相關(guān)所有者分配任務(wù)。

在該階段的工作中，至關(guān)重要的一點就是要了解這樣一個事實：一些補(bǔ)救項目將比其他補(bǔ)救項目耗時更久。例如，技術(shù)修復(fù)和升級可能需要更多預(yù)算和人員支持;或者數(shù)據(jù)主體權(quán)(data subject rights)可能需要為那些負(fù)責(zé)最終用戶請求的前端處理團(tuán)隊成員提供開發(fā)培訓(xùn)。

4. 測試修復(fù)成果

既然審核團(tuán)隊已經(jīng)投入了大量時間和資源來尋找并修復(fù)合規(guī)性差距，那么確保組織的流程和系統(tǒng)能夠滿足GDPR要求將至關(guān)重要。

測試并重新測試組織已經(jīng)實施的控制措施，以確保彌補(bǔ)差距，并解決可能出現(xiàn)的任何問題。一旦差距彌補(bǔ)過程順利完成，那么確保組織的流程和系統(tǒng)能夠滿足GDPR要求就成為審核工作接下來要完成的重點內(nèi)容。

值得注意的是，這是一個持續(xù)的過程。組織需要定期執(zhí)行審核，以確保隱私和合規(guī)性計劃正在按預(yù)期運(yùn)行。問責(zé)制是GDPR的一項原則，組織必須實施持續(xù)的監(jiān)督和執(zhí)行計劃，以測試隱私計劃在滿足GDPR要求方面的有效性。

此外，安全專家還表示，為滿足GDPR和數(shù)據(jù)隱私要求，組織還需要納入常規(guī)風(fēng)險分析。法規(guī)的某些方面可能并不適用于所有公司，包括人命DPO或維護(hù)數(shù)據(jù)處理活動的記錄等。為此，審核工作本身可以幫助組織更好地理解GDPR合規(guī)性要求。

GDPR“自我審核”的額外好處

執(zhí)行GDPR審核需要花費(fèi)大量時間、金錢和其他資源。然而，這種投資所帶來的回報可能遠(yuǎn)遠(yuǎn)不止能夠幫助組織降低罰款風(fēng)險。專家表示，在“自我審核”方面表現(xiàn)良好的積極意義遠(yuǎn)大于執(zhí)行審核所花費(fèi)的成本和付出。

例如，Teradata公司的安全專家John Timmerman就將“自我審核”視為展示客戶支持的一種方式。他認(rèn)為，每個受GDPR影響的營銷組織都應(yīng)該成為行業(yè)領(lǐng)先者，在如何保護(hù)客戶資源和宣傳自身優(yōu)勢方面起到行業(yè)表率作用。但是，令人驚訝的現(xiàn)實是，很多組織仍然簡單地將GDPR視為一個指令，而非一次實現(xiàn)自身發(fā)展的機(jī)遇。市場***應(yīng)該牢牢地抓住此次發(fā)展機(jī)遇，通過向客戶展示自己如何以及為何使用這些數(shù)據(jù)為客戶提供更好的服務(wù)，來***限度地征服人心，搶占市場。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文