随着更多隐私法规的发布,组织必须评估他们的隐私能力. 然而,很难知道从哪里开始. 组织需要做的第一件事是确定他们拥有哪些数据,以确保他们负责. 如果没有结构化的方法,这可能是具有挑战性的. 美国国家标准与技术研究所(NIST)隐私框架提供了一个结构,帮助组织了解隐私计划的常见结果,并就如何开始识别和盘点数据提供了建议.1 通过了解他们的数据, 然后,组织可以更好地评估其隐私风险,并实施适当的数据处理保障措施. 每个组织都有某种形式的敏感数据——与他们如何运营业务相关的专有数据, 员工的个人资料, 以及使用或购买其产品和服务的个人或组织的客户数据. 需要对这些数据进行分类,以确定如何适当地处理和保护它们, 这通常是一个挑战.
NIST隐私框架包括5个功能:识别、治理、控制、沟通和保护. 在一起, 这些功能提供了在组织内组织隐私功能的结构. 第一个功能旨在确定组织处理哪些数据以帮助建立坚实的基础. 一旦地基就位, 该框架继续治理与隐私相关的风险, 控制数据以管理隐私风险, 沟通以确保理解数据处理和, 最终, 通过实施数据处理保障措施来保护数据. 利用Identify函数中的类别是一个很好的开始方式.
对于一个组织来说,完全了解它拥有什么类型的数据, 它必须理解专有数据, 它存储的人员数据和客户数据, 处理和传输. 最好的方法是映射数据. 首先要创建一个清单,如NIST隐私框架中第一个类别中定义的那样, 库存和映射(ID).IM-P),以了解跨系统、产品和服务使用的已知数据类型. 该清单可能包括数据所有者和操作人员, 对数据采取的操作, 数据的用途,甚至数据的位置. 一旦已知数据被编目, 组织可以跨团队传播信息, 业务单位, 让各部门参与进来,学习他们还不知道的东西. 虽然这听起来像是一个相当简单的任务, 它往往比听起来要难得多. 个人数据可以混合到任何东西中,从用于营销的组织网站到用于系统恢复的备份,甚至可以混合到用于测试目的的开发环境中. 组织必须了解他们收集、处理和最终存储的信息.
一旦组织有信心,它就了解了它所拥有的数据和系统, 产品, 以及处理这些数据的服务, 它可以开始决定该怎么做. 这些数据中有多少是做生意绝对需要的. 给组织带来多少不成比例的风险? NIST隐私框架商业环境(ID.BE-P)类别驱动基于业务需求的理解和优先级.
组织经常处理和存储不必要的数据,而不考虑数据带来的风险.
组织数据, 特别是个人信息, 每次有人注册一项新服务或注册购买一种产品时,通常都会请求并提供哪些信息, 有时甚至在客户不需要做任何事情的情况下就可以捕获数据. 组织经常处理和存储不必要的数据,而不考虑数据带来的风险. 这可以从商店忠诚度计划收集的多余信息中看出, 在账户关闭数年后仍保留销售或客户信息, 甚至还有员工在招聘过程中分享不必要的个人信息. 对于组织来说,考虑他们的业务需求并利用NIST隐私框架风险评估(ID)是很重要的.RA-P)类别,以了解处理个人信息所带来的隐私风险以及它如何长期影响他们.
数据应根据组织的内容分为3类:
- 必须有
- 我想保留
- 没有业务需要吗
这有助于组织更好地了解其需求并做出决策,从而更好地管理与隐私相关的风险. NIST隐私框架识别功能的最后一个类别是数据处理生态系统风险管理(ID).DE-P)类别. 该类别建议组织采用他们所学到的知识并构建流程来确保他们的数据处理, 包括收集, 一代, 使用, 存储, 分享, 和处置, 符合他们的业务需求,并在他们的风险承受范围内. 如果不需要这些数据,那么组织就需要摆脱它们.
结论
一旦组织完成了必要的步骤来清点其数据, 了解其业务需求, 评估其隐私风险, 并管理其风险以适应其业务, 它可以有信心,它有一个坚实的基础,开始扩大其隐私能力,也可以治理, 控制, 根据NIST隐私框架进行沟通和保护其数据. 保护未知事物是极其困难的, 这就是为什么组织必须了解他们今天拥有的数据并将其映射出来的原因吗.
尾注
1 美国国家标准与技术研究院(NIST) NIST隐私框架:通过澳门赌场官方下载风险管理改善隐私的工具, 版本1.02020年1月,美国
凯利·胡德,CDPSE
在光学网络解决方案公司工作. 她协助组织实施网络安全和隐私最佳实践, 控制和标准,以管理风险和满足合规目标. 作为NIST网络安全框架团队的一员, Hood通过当前版本支持网络安全框架的发展和扩展,并参与了NIST隐私框架开发期间的工作组. Hood还一直支持ISACA的能力成熟度模型集成(CMMI)网络成熟度平台的开发和扩展. 她帮助ISACA开发的专利申请方法® 将网络安全风险转化为网络成熟度目标,并确定缓解策略,以帮助组织提高网络安全能力.