強(qiáng)調(diào)合規(guī)性的數(shù)據(jù)存儲(chǔ)管理人員應(yīng)該遵循行業(yè)機(jī)構(gòu)分析師推薦的策略，其中包括采用自動(dòng)化技術(shù)和匿名數(shù)據(jù)。

存儲(chǔ)專(zhuān)業(yè)人士如今有很多事情要做，但在隱私法規(guī)范圍不斷擴(kuò)展的時(shí)代，他們的任務(wù)清單卻在不斷增加。包括GDPR法案、薩班斯-奧克斯利法案、HIPAA、PCIDSS、CCPA等法規(guī)在內(nèi)的隱私法規(guī)使企業(yè)確保其存儲(chǔ)數(shù)據(jù)的合規(guī)性如今成為一項(xiàng)更大的挑戰(zhàn)。

然而，存儲(chǔ)專(zhuān)家是否承擔(dān)相對(duì)于企業(yè)中其他人更多的合規(guī)性責(zé)任因行業(yè)領(lǐng)域和企業(yè)規(guī)模而異。IDC公司分析師Andrew Smith表示，在零售行業(yè)等監(jiān)管較少的行業(yè)中，當(dāng)涉及到安全規(guī)則和合規(guī)性操作時(shí)，更常見(jiàn)的是看到存儲(chǔ)專(zhuān)業(yè)人員的責(zé)任更加廣泛。另一方面，在醫(yī)療保健公司等高度監(jiān)管的行業(yè)中，負(fù)責(zé)安全和合規(guī)性的專(zhuān)門(mén)團(tuán)隊(duì)通常更為普遍，有時(shí)由首席數(shù)據(jù)官提供支持。

對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，最主要的合規(guī)性驅(qū)動(dòng)因素包括以下內(nèi)容：

• GDPR?！锻ㄓ脭?shù)據(jù)保護(hù)條例》(GDPR)控制與歐盟(EU)公民相關(guān)的數(shù)據(jù)保護(hù)和隱私，限制數(shù)據(jù)移動(dòng)以及數(shù)據(jù)的使用方式。由于其廣泛的定義和難以承受的處罰，GDPR法規(guī)是所有數(shù)據(jù)管理員最關(guān)心的問(wèn)題，他們必須非常謹(jǐn)慎以避免其陷阱。
• 薩班斯-奧克斯利法案。該法案是一項(xiàng)美國(guó)在2002年發(fā)布的金融法規(guī)，它對(duì)在美國(guó)上市的公司采用了嚴(yán)格的數(shù)據(jù)保留規(guī)則。存儲(chǔ)專(zhuān)家必須注意法規(guī)所涵蓋的數(shù)據(jù)。
• HIPAA。1996年的《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)是一項(xiàng)復(fù)雜的法規(guī)，涵蓋的不僅僅是數(shù)據(jù)。但是，其最相關(guān)的功能旨在保護(hù)與個(gè)人相關(guān)的醫(yī)療信息的隱私和機(jī)密性。因此，它關(guān)注數(shù)據(jù)的保留和訪問(wèn)控制。
• PCIDSS。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)旨在保護(hù)存儲(chǔ)在任何地方的消費(fèi)者信用卡信息——既防止欺詐又保護(hù)隱私。處理此類(lèi)數(shù)據(jù)的組織需要接受各種定期審計(jì)。
• CCPA?！都永Ｄ醽喯M(fèi)者隱私法》(CCPA)是一項(xiàng)在概念和后果上與歐盟GDPR相似的州法律。

研究機(jī)構(gòu)Enterpris Strategy集團(tuán)分析師Christophe Bertrand指出，所有這些法規(guī)的最主要問(wèn)題是了解企業(yè)擁有哪些數(shù)據(jù)以及哪些法規(guī)適用于這些數(shù)據(jù)。一旦確定，合規(guī)性就更容易管理。

存儲(chǔ)合規(guī)性角色和職責(zé)

IDC公司分析師Andrew Smith說(shuō)，“通常情況下，我們看到存儲(chǔ)專(zhuān)業(yè)人員負(fù)責(zé)數(shù)據(jù)管理和記錄保護(hù)的基礎(chǔ)知識(shí)，無(wú)論數(shù)據(jù)類(lèi)型如何。”他表示，這可能包括確保數(shù)據(jù)可用并受到保護(hù)(復(fù)制和備份)，而不管其數(shù)據(jù)類(lèi)型如何，將提供適當(dāng)?shù)脑L問(wèn)控制和流程，并確保合規(guī)性。

他表示，歸檔和電子發(fā)現(xiàn)之間的關(guān)系通常是學(xué)科交叉的一個(gè)很好的例子。存儲(chǔ)管理員通常負(fù)責(zé)數(shù)據(jù)歸檔、數(shù)據(jù)策略、元數(shù)據(jù)和訪問(wèn)。然后，合規(guī)專(zhuān)家將使用存檔中的原生工具或在集成應(yīng)用程序的幫助下訪問(wèn)這些數(shù)據(jù)，用于監(jiān)視或電子發(fā)現(xiàn)目的。他補(bǔ)充說(shuō)，“它們所扮演的角色非常不同，但都是信息治理目標(biāo)不可或缺的一部分。”

Smith說(shuō)，“在通常情況下，數(shù)據(jù)仍由IT組織中的存儲(chǔ)或數(shù)據(jù)經(jīng)理管理。對(duì)于SaaS應(yīng)用程序，這變得更加多樣化，可能經(jīng)?？吹綐I(yè)務(wù)應(yīng)用程序所有者在他們使用的特定SaaS應(yīng)用程序范圍內(nèi)承擔(dān)數(shù)據(jù)管理任務(wù)。”

不過(guò)他表示，在與供應(yīng)商和買(mǎi)家的溝通和對(duì)話中，存儲(chǔ)、數(shù)據(jù)管理、數(shù)據(jù)安全和法規(guī)遵從性之間的界限似乎開(kāi)始模糊。在過(guò)去幾年中，市場(chǎng)已轉(zhuǎn)向?yàn)閿?shù)據(jù)管理、數(shù)據(jù)彈性和數(shù)據(jù)平臺(tái)提供平臺(tái)和服務(wù)。

Smith表示，市場(chǎng)朝著這個(gè)方向發(fā)展的很大一部分原因是存儲(chǔ)專(zhuān)業(yè)人士必須“少花錢(qián)多辦事”。隨著企業(yè)對(duì)其運(yùn)營(yíng)、產(chǎn)品和服務(wù)的大部分實(shí)現(xiàn)數(shù)字化，存儲(chǔ)容量繼續(xù)呈指數(shù)級(jí)增長(zhǎng)。這給存儲(chǔ)專(zhuān)業(yè)人員和IT管理員帶來(lái)了額外的負(fù)擔(dān)，以確保以經(jīng)濟(jì)高效的方式存儲(chǔ)企業(yè)數(shù)據(jù)，并且更廣泛的應(yīng)用程序和業(yè)務(wù)部門(mén)可以輕松訪問(wèn)被認(rèn)為是“關(guān)鍵任務(wù)”的數(shù)據(jù)。而目前流行的主題是“數(shù)據(jù)是新的石油，數(shù)據(jù)是最寶貴的資產(chǎn)”，企業(yè)面臨著捕捉和保留比以往更多的數(shù)據(jù)的壓力，并希望這些數(shù)據(jù)能夠以新穎的方式實(shí)現(xiàn)貨幣化。他補(bǔ)充說(shuō)，“在許多情況下，存儲(chǔ)管理員需要經(jīng)濟(jì)高效地管理存儲(chǔ)系統(tǒng)，這將面臨一個(gè)艱難的處境。”

盡管存儲(chǔ)和IT專(zhuān)業(yè)人員可能不具備滿足所有合規(guī)性要求或阻止每次網(wǎng)絡(luò)攻擊所需的所有工具和知識(shí)，但他們絕對(duì)是第一道防線，并且是企業(yè)數(shù)據(jù)戰(zhàn)略的一個(gè)重要組成部分。Smith說(shuō)。“當(dāng)我們向存儲(chǔ)經(jīng)理詢問(wèn)隱私法和合規(guī)性時(shí)，大多數(shù)人表示擔(dān)心其企業(yè)的合規(guī)能力。這些人通常關(guān)注性能、管理和安全等方面的挑戰(zhàn)，尤其是云存儲(chǔ)服務(wù)的安全性。”

存儲(chǔ)合規(guī)性的最佳實(shí)踐

Smith和其他分析師為關(guān)心如何應(yīng)對(duì)合規(guī)性挑戰(zhàn)的存儲(chǔ)專(zhuān)業(yè)人士提出了六個(gè)建議或最佳實(shí)踐，其中包括：

(1) 記錄行動(dòng)

準(zhǔn)備好證明政策和做法的合理性。Bertrand表示，所有法規(guī)都可以解釋?zhuān)行┓ㄒ?guī)故意含糊不清，實(shí)際上具體規(guī)定了使用現(xiàn)代的做法。這意味著需要有某種關(guān)于存儲(chǔ)策略的解釋性信息來(lái)支持選擇的適當(dāng)性，如果曾經(jīng)被審計(jì)的話。

(2) 利用工具

Grant Thornton公司負(fù)責(zé)人Lindsay Hohler表示，建議使用工具來(lái)實(shí)施和自動(dòng)化數(shù)據(jù)治理。并確保每個(gè)人都了解他們的角色和職責(zé)。她補(bǔ)充說(shuō)，“這不僅僅是一個(gè)由IT領(lǐng)導(dǎo)的計(jì)劃;它必須讓企業(yè)的利益相關(guān)者參與進(jìn)來(lái)。”

(3) 經(jīng)濟(jì)高效地存儲(chǔ)數(shù)據(jù)

Smith指出，確保數(shù)據(jù)存儲(chǔ)在最具成本效益和性能的可用層上是最佳實(shí)踐。并確保滿足基本策略和訪問(wèn)要求。例如，在分層或刪除數(shù)據(jù)之前，確定誰(shuí)可以訪問(wèn)哪些文件/存儲(chǔ)桶以及應(yīng)保留特定時(shí)間段的特定數(shù)據(jù)。他補(bǔ)充說(shuō)，“我們經(jīng)?？吹剿羞@些都在存儲(chǔ)專(zhuān)業(yè)人員的控制之下。”

(4) 使用有效的產(chǎn)品和服務(wù)

Smith說(shuō)，存儲(chǔ)和IT專(zhuān)業(yè)人員在出現(xiàn)問(wèn)題時(shí)可以避免成為“替罪羊”的一種方法，是在合規(guī)性和安全性方面對(duì)供應(yīng)商產(chǎn)品和服務(wù)進(jìn)行更全面的審查和發(fā)現(xiàn)。他補(bǔ)充說(shuō)，當(dāng)涉及到數(shù)據(jù)隱私和合規(guī)性時(shí)，需要提出正確的問(wèn)題以了解客戶與供應(yīng)商的關(guān)系，以及共同責(zé)任與個(gè)人責(zé)任。

(5) 利用自動(dòng)化

這些服務(wù)的核心是傳統(tǒng)的存儲(chǔ)系統(tǒng)，但越來(lái)越多的IT購(gòu)買(mǎi)者期望的不僅僅是文件系統(tǒng)或?qū)ο蟠鎯?chǔ)庫(kù)。他們希望內(nèi)置的高級(jí)數(shù)據(jù)管理工具能夠超越基本的配置。因此，據(jù)Smith稱(chēng)，他們正在尋找管理工具來(lái)幫助自動(dòng)化訪問(wèn)控制、預(yù)測(cè)物理設(shè)備故障或識(shí)別性能瓶頸，以及跟蹤和審核數(shù)據(jù)日志，并識(shí)別惡意軟件或勒索軟件。

(6) 匿名數(shù)據(jù)

Hohler指出，在某些情況下，受監(jiān)管的數(shù)據(jù)可以匿名化，因此它不再違反GDPR和CCPA等法規(guī)，從而可以繼續(xù)保留，但風(fēng)險(xiǎn)較小。

Hohler表示，實(shí)施良好的數(shù)據(jù)保護(hù)和合規(guī)實(shí)踐的必然結(jié)果是確保企業(yè)也擁有健全和積極的數(shù)據(jù)處理實(shí)踐。她說(shuō)，“多年來(lái)，企業(yè)一直致力于確保保留數(shù)據(jù)以滿足各種法規(guī)要求，但現(xiàn)在，我們看到更多的轉(zhuǎn)變是在數(shù)據(jù)具有商業(yè)意義時(shí)立即處理數(shù)據(jù)，并假設(shè)企業(yè)已經(jīng)滿足合規(guī)性。”

Hohler補(bǔ)充說(shuō)，最重要的是要意識(shí)到安全和合規(guī)計(jì)劃的實(shí)施可能需要一些時(shí)間。