欧盟的通用数据保护条例(GDPR)是影响全球安全专业的最新法律之一。截至2018年5月25日,GDPR是欧盟的法律和可执行法案。

在这篇文章中,我们将详细介绍作为安全专家的主要发现,以及如何工作以满足GDPR的要求。

通用数据保护条例 GDPR

第1章 1  2  3  4
第2章 5  6  7  8  9  10  11
第3章 12  13  14  15  16  17  18  19  20  21  22  23
第四章 24  25  26  27  28  29  30  31  32  33  34  35  36  37  38  39  40  41  42  43
第五章 44  45  46  47  48  49  50
第六章 51  52  53  54  55  56  57  58  59
第七章 60  61  62  63  64  65  66  67  68  69  70  71  72  73  74  75  76
第八章 77  78  79  80  81  82  83  84
第九章 85  86  87  88  89  90  91
第10章 92  93
第十一章 94  95  96  97  98  99

GDPR 中不包括的前两件事:

  • GDPR 不包括隐私或个人身份数据
  • GDPR 是域外法规。任何收集/存储/处理/旅游/更改欧盟公民个人数据的组织,都必须遵守GDPR的要求,即使该组织不在欧盟也是如此。

(ISC)2建立了成功的框架:

阶段1:开发

  • 确定高级利益相关者,并让受影响的每个业务部门参与进来。 
  • 分配足够的资源以支持实施。 
  • 清点并分析整个组织中持有的个人数据。验证程序以确保它们涵盖了欧盟个人在GDPR下拥有的所有权利。 
  • 审查如何寻求,获取和记录同意,以确定是否需要更改。 
  • 当处理涉及特定数据类别,大规模处理个人数据并且如果处理这些特殊类型的个人数据是您业务的核心时,请指定一名数据保护官(DPO)。 

阶段2:实施

  • 找出差距并制定计划以符合GDPR规定的数据保护要求。被确定特别增加繁重工作量的两个领域是数据保护影响评估(DPIA)和主题访问请求(SAR)。公司需要确定他们计划如何进行这些工作,并且它们也要经过风险评估/成熟度路线图过程。
  • 完善必要的解决方案,以改善数据保护并确保遵守要求和法规。 
  • 实施程序以检测,报告和调查个人数据泄露。
  • 测试,部署和OA所有开发的控制和解决方案,以实现合规性。
  • 制定内部GDPR审核计划。
  • 使监视所有创建的数据保护控件的工作投入运营。 

阶段3:改善

  • 进入持续改进的状态。 
  • 将GDPR的工作置于维护/审查/更新模式。 
  • 增强控制和客户服务以保持GDPR的合规性,并与客户建立信任和关系。 

1.制定GDPR战略 

阶段1:开发

  • 确定高级利益相关者,并让受影响的每个业务部门参与进来。 
  • 分配足够的资源以支持实施。 

目标:

  • 熟悉具体文章
  • 确定适用于您公司的文章
  • 确定将做出决定的利益相关者

发表评论