強調合規(guī)性的數(shù)據(jù)存儲管理人員應該遵循行業(yè)機構分析師推薦的策略，其中包括采用自動化技術和匿名數(shù)據(jù)。

存儲專業(yè)人士如今有很多事情要做，但在隱私法規(guī)范圍不斷擴展的時代，他們的任務清單卻在不斷增加。包括GDPR法案、薩班斯-奧克斯利法案、HIPAA、PCIDSS、CCPA等法規(guī)在內的隱私法規(guī)使企業(yè)確保其存儲數(shù)據(jù)的合規(guī)性如今成為一項更大的挑戰(zhàn)。

然而，存儲專家是否承擔相對于企業(yè)中其他人更多的合規(guī)性責任因行業(yè)領域和企業(yè)規(guī)模而異。IDC公司分析師Andrew Smith表示，在零售行業(yè)等監(jiān)管較少的行業(yè)中，當涉及到安全規(guī)則和合規(guī)性操作時，更常見的是看到存儲專業(yè)人員的責任更加廣泛。另一方面，在醫(yī)療保健公司等高度監(jiān)管的行業(yè)中，負責安全和合規(guī)性的專門團隊通常更為普遍，有時由首席數(shù)據(jù)官提供支持。

對于大多數(shù)企業(yè)來說，最主要的合規(guī)性驅動因素包括以下內容：

• GDPR?！锻ㄓ脭?shù)據(jù)保護條例》(GDPR)控制與歐盟(EU)公民相關的數(shù)據(jù)保護和隱私，限制數(shù)據(jù)移動以及數(shù)據(jù)的使用方式。由于其廣泛的定義和難以承受的處罰，GDPR法規(guī)是所有數(shù)據(jù)管理員最關心的問題，他們必須非常謹慎以避免其陷阱。
• 薩班斯-奧克斯利法案。該法案是一項美國在2002年發(fā)布的金融法規(guī)，它對在美國上市的公司采用了嚴格的數(shù)據(jù)保留規(guī)則。存儲專家必須注意法規(guī)所涵蓋的數(shù)據(jù)。
• HIPAA。1996年的《健康保險流通與責任法案》(HIPAA)是一項復雜的法規(guī)，涵蓋的不僅僅是數(shù)據(jù)。但是，其最相關的功能旨在保護與個人相關的醫(yī)療信息的隱私和機密性。因此，它關注數(shù)據(jù)的保留和訪問控制。
• PCIDSS。支付卡行業(yè)數(shù)據(jù)安全標準旨在保護存儲在任何地方的消費者信用卡信息——既防止欺詐又保護隱私。處理此類數(shù)據(jù)的組織需要接受各種定期審計。
• CCPA?！都永Ｄ醽喯M者隱私法》(CCPA)是一項在概念和后果上與歐盟GDPR相似的州法律。

研究機構Enterpris Strategy集團分析師Christophe Bertrand指出，所有這些法規(guī)的最主要問題是了解企業(yè)擁有哪些數(shù)據(jù)以及哪些法規(guī)適用于這些數(shù)據(jù)。一旦確定，合規(guī)性就更容易管理。

存儲合規(guī)性角色和職責

IDC公司分析師Andrew Smith說，“通常情況下，我們看到存儲專業(yè)人員負責數(shù)據(jù)管理和記錄保護的基礎知識，無論數(shù)據(jù)類型如何。”他表示，這可能包括確保數(shù)據(jù)可用并受到保護(復制和備份)，而不管其數(shù)據(jù)類型如何，將提供適當?shù)脑L問控制和流程，并確保合規(guī)性。

他表示，歸檔和電子發(fā)現(xiàn)之間的關系通常是學科交叉的一個很好的例子。存儲管理員通常負責數(shù)據(jù)歸檔、數(shù)據(jù)策略、元數(shù)據(jù)和訪問。然后，合規(guī)專家將使用存檔中的原生工具或在集成應用程序的幫助下訪問這些數(shù)據(jù)，用于監(jiān)視或電子發(fā)現(xiàn)目的。他補充說，“它們所扮演的角色非常不同，但都是信息治理目標不可或缺的一部分。”

Smith說，“在通常情況下，數(shù)據(jù)仍由IT組織中的存儲或數(shù)據(jù)經(jīng)理管理。對于SaaS應用程序，這變得更加多樣化，可能經(jīng)?？吹綐I(yè)務應用程序所有者在他們使用的特定SaaS應用程序范圍內承擔數(shù)據(jù)管理任務。”

不過他表示，在與供應商和買家的溝通和對話中，存儲、數(shù)據(jù)管理、數(shù)據(jù)安全和法規(guī)遵從性之間的界限似乎開始模糊。在過去幾年中，市場已轉向為數(shù)據(jù)管理、數(shù)據(jù)彈性和數(shù)據(jù)平臺提供平臺和服務。

Smith表示，市場朝著這個方向發(fā)展的很大一部分原因是存儲專業(yè)人士必須“少花錢多辦事”。隨著企業(yè)對其運營、產(chǎn)品和服務的大部分實現(xiàn)數(shù)字化，存儲容量繼續(xù)呈指數(shù)級增長。這給存儲專業(yè)人員和IT管理員帶來了額外的負擔，以確保以經(jīng)濟高效的方式存儲企業(yè)數(shù)據(jù)，并且更廣泛的應用程序和業(yè)務部門可以輕松訪問被認為是“關鍵任務”的數(shù)據(jù)。而目前流行的主題是“數(shù)據(jù)是新的石油，數(shù)據(jù)是最寶貴的資產(chǎn)”，企業(yè)面臨著捕捉和保留比以往更多的數(shù)據(jù)的壓力，并希望這些數(shù)據(jù)能夠以新穎的方式實現(xiàn)貨幣化。他補充說，“在許多情況下，存儲管理員需要經(jīng)濟高效地管理存儲系統(tǒng)，這將面臨一個艱難的處境。”

盡管存儲和IT專業(yè)人員可能不具備滿足所有合規(guī)性要求或阻止每次網(wǎng)絡攻擊所需的所有工具和知識，但他們絕對是第一道防線，并且是企業(yè)數(shù)據(jù)戰(zhàn)略的一個重要組成部分。Smith說。“當我們向存儲經(jīng)理詢問隱私法和合規(guī)性時，大多數(shù)人表示擔心其企業(yè)的合規(guī)能力。這些人通常關注性能、管理和安全等方面的挑戰(zhàn)，尤其是云存儲服務的安全性。”

存儲合規(guī)性的最佳實踐

Smith和其他分析師為關心如何應對合規(guī)性挑戰(zhàn)的存儲專業(yè)人士提出了六個建議或最佳實踐，其中包括：

(1) 記錄行動

準備好證明政策和做法的合理性。Bertrand表示，所有法規(guī)都可以解釋，有些法規(guī)故意含糊不清，實際上具體規(guī)定了使用現(xiàn)代的做法。這意味著需要有某種關于存儲策略的解釋性信息來支持選擇的適當性，如果曾經(jīng)被審計的話。

(2) 利用工具

Grant Thornton公司負責人Lindsay Hohler表示，建議使用工具來實施和自動化數(shù)據(jù)治理。并確保每個人都了解他們的角色和職責。她補充說，“這不僅僅是一個由IT領導的計劃;它必須讓企業(yè)的利益相關者參與進來。”

(3) 經(jīng)濟高效地存儲數(shù)據(jù)

Smith指出，確保數(shù)據(jù)存儲在最具成本效益和性能的可用層上是最佳實踐。并確保滿足基本策略和訪問要求。例如，在分層或刪除數(shù)據(jù)之前，確定誰可以訪問哪些文件/存儲桶以及應保留特定時間段的特定數(shù)據(jù)。他補充說，“我們經(jīng)?？吹剿羞@些都在存儲專業(yè)人員的控制之下。”

(4) 使用有效的產(chǎn)品和服務

Smith說，存儲和IT專業(yè)人員在出現(xiàn)問題時可以避免成為“替罪羊”的一種方法，是在合規(guī)性和安全性方面對供應商產(chǎn)品和服務進行更全面的審查和發(fā)現(xiàn)。他補充說，當涉及到數(shù)據(jù)隱私和合規(guī)性時，需要提出正確的問題以了解客戶與供應商的關系，以及共同責任與個人責任。

(5) 利用自動化

這些服務的核心是傳統(tǒng)的存儲系統(tǒng)，但越來越多的IT購買者期望的不僅僅是文件系統(tǒng)或對象存儲庫。他們希望內置的高級數(shù)據(jù)管理工具能夠超越基本的配置。因此，據(jù)Smith稱，他們正在尋找管理工具來幫助自動化訪問控制、預測物理設備故障或識別性能瓶頸，以及跟蹤和審核數(shù)據(jù)日志，并識別惡意軟件或勒索軟件。

(6) 匿名數(shù)據(jù)

Hohler指出，在某些情況下，受監(jiān)管的數(shù)據(jù)可以匿名化，因此它不再違反GDPR和CCPA等法規(guī)，從而可以繼續(xù)保留，但風險較小。

Hohler表示，實施良好的數(shù)據(jù)保護和合規(guī)實踐的必然結果是確保企業(yè)也擁有健全和積極的數(shù)據(jù)處理實踐。她說，“多年來，企業(yè)一直致力于確保保留數(shù)據(jù)以滿足各種法規(guī)要求，但現(xiàn)在，我們看到更多的轉變是在數(shù)據(jù)具有商業(yè)意義時立即處理數(shù)據(jù)，并假設企業(yè)已經(jīng)滿足合規(guī)性。”

Hohler補充說，最重要的是要意識到安全和合規(guī)計劃的實施可能需要一些時間。