首页 > 信息安全 > 正文

GDPR 对于数据?;さ囊庖?/h4>

黑龙江6+1app www.j7k88.cn 2018-07-12 15:45:29  来源:网络转载

摘要:在数据中心这个行业,安全问题无处不在,伴随着安全问题让人们对网络又爱又恨,近期,有不少自称安全方面的专家不断涌现。
关键词: GDPR
  在数据中心这个行业,安全问题无处不在,伴随着安全问题让人们对网络又爱又恨,近期,有不少自称安全方面的专家不断涌现。

  显然,这个世界和它的母亲可以使你的GDPR服从各种各样的成本,同时提供各种价值 - 如果有的话。 在每一个方面,都是关于合规性的,组织的大部分噪音是关于遵守GDPR的需要。

  GDPR:通用数据?;す娣?rdquo;(GDPR) 究其本质,该条例制定的目的,是想借赋予欧盟公民个人信息?;さ幕救ɡ?,来增加消费者对在线服务和电子商务的信心。GDPR的核心,是对个人数据的收集和之后的存储使用,规定更高的透明度与管控。对GDPR的正面阐释,是公司企业可通过给消费者一种自身数据被合理存储和?;さ陌踩?,来赢得消费者的信任。GDPR不是一个负担,相反,它可被视为在世界第二大贸易集团(欧盟)增加业务的好机会。

  如果你收集欧盟公民的数据,你就受到GDPR的管辖。除非你的公司非常严格地排除了欧盟,否则你还是得处理GDPR合规问题。这一宽泛的适用范围,其出发点是好的。要知道,GDPR其实就是《欧盟数据?;ぶ改稀返募倘握?,所以,某种程度上,它将怎样改进现有标准,也是众所瞩目的。

  GDPR不仅仅是《欧盟数据?;ぶ改稀返姆段Ю┐蟀?,它还是总体上更为严苛的法规,包含更严厉的违规处罚。违规最高罚金可达公司全球总收益的4%或2000万欧元中的高者。说白了,这些后果本就是相当严重的。除了高额罚金,GDPR还加入了以下条款:

  · 引入强制数据泄露通告。遭受安全事件并导致个人身份信息泄露的公司,需要在事件发现后72小时内,将事件报告给他们指定的数据?;せ?

  · 引入具备数据?;し钭ㄒ抵兜闹付ㄊ荼;す僭?。该角色必须是独立的、自治的,并直接向高层管理汇报。

  GDPR提出的要求显然不止这些,仅靠这篇文章也解释不完。这里只是想要说服各位读者尽快去了解更多。如果你脑中有这样的想法:“我得买什么产品才能合规?”赶紧扔掉。购买部署一堆安全产品不能让你达到合规的目的。

  该规定特意编写得无关技术,且面向未来——数据和数据安全瞬时万变的情况下这一点尤其恰当。不过,出于信息安全合规角度,对公司企业必须做些什么,建立起初始有效的解读,还是可以的。数据安全的关键,在于“足够的措施”这句。数据控制者必须实现“足够的措施”,来确保其处理系统和所掌握信息的机密性和完整性。这包括:

  · 应用关键安全控制来恰当地检测、管理和缓解数据处理环境中的任何漏洞;

  · 根据企业策略配置系统,并维护该配置;

  · 主动识别偏离该策略的系统;

  · 持续监视日志文件,警惕任何潜在数据泄露或漏洞;

  · 维持有效检测、响应和缓解任何安全事件的能力;

  · 以安全的方式使用云服务。

  如果你将注意力放在合规上,很有可能没有意义,即使一直在关注细节,看起来可能“完全合规”,但也只是在相对的一个时间点。

  当然,遵守规定是一件好事,但它并不能?;つ庥谄苹凳?,也不能保证您的业务不会违规。 没有证据支持这样一种观点:遵守规定会减少数据泄露的机会。

  切合实际的?;?/strong>

  事实上,你不应该??畹S?,倒是应该担忧股票价值,潜在的集体诉讼以及客户的信任。 这不是像其他人一样那般带给你的恐惧,而是需要要提供一点切合实际的东西。

  你不可能防止每一次可以想象的攻击或事故,你也不应该期望,但是你能否在?;ふ庑┦莘矫姹硐殖龊侠淼拇胧? 你能对企业组织的数据做出那些合理的?;ご胧?企业的目标不是制定规定,而是?;な?。

  GDPR的关键,以及这个领域的其他法规,是整个组织数据?;さ囊桓隽己玫姆椒?。 这不是一个安全或技术问题,而是一个整体的业务问题。

  仅仅关注GDPR合规本身就是错误的。

  GDPR只是最新的监管主题,它是建立在1998年“数据?;しò?rdquo;(DPA)的基础上,该法案建立在对个人数据进行处理和依法处理的基础上。

  这是一个新的规定,但对数据?;ざ?,已经不足为奇。?;な莸囊笠恢贝嬖?,但是这又是一个绊脚石,对那些不能证明他们正在认真对待数据?;さ淖橹?,可能会造成更严重的后果。

  现在是时候停止不认真地考虑数据?;ふ飧鑫侍?。 您的客户,员工以及高级利益相关方和监管机构要求您?;な?,并且需要认真对待。

  合规就是无意义

  企业、组织遵守法规,但仍然遭受了损失 - 这怎么可能?因为到目前为止, 大家只关注合规性。这只是一个很小的范围,当数据?;じ静辉诖朔段诘氖焙?。

  当然,最初的重点始终是“通过考试”,而不是真正的提高和成熟。 这几乎总是一个时间点评估,只有在法规要求或为了纳入年度报告时才会重新审查。

  我们有多久看一次年度报告,董事会是在哪里提到对公司网络安全的信心和专家的评估? 问问自己,这种评估是多么的静止,调查的范围,调查的彻底性以及其中的局限性?

  数据?;さ淖钗行У姆椒ㄊ墙荼;で度氲侥囊滴?,战略,转型和商业安排中,按照此方法,这将加速形成数据?;さ氖谐?。

  灰色地带

  今天有相当数量的组织没有向DPA投诉,所以我们不要假装每个人都明天要遵守GDPR,甚至关闭。

  然而,对法律的无知从来没有达到很好的防御效果,一旦强制性报告于2018年5月生效,看看有多少企业、组织报告会存在违规。

  GDPR的麻烦在于它是一个规定,法规很少是黑白的。 那里有很多灰色的东西,虽然它已经被很好地考虑过了,在大多数情况下,一个外行人可以掌握基本知识。 我们只会通过不可避免的法庭案件和法律挑战的结果来了解一些方面的最终定位。

  需要足够的专业知识和业务知识来对此做出合理的判断。 在每一种情况下,这都取决于它,而且这总是一个基于风险的决定,但是如果你盲目的话,你会很纠结。

  然而,从DPA下微不足道的数额来看,提高可能的??罴壑?- 高达2000万欧元或者占全球收入的4%可能意味着监管者的意图,而且我担心这些等待的组织 - 看到态度,无意以任何方式符合2018年5月。

  市场反应

  市场主要是谈判合规,但是有一系列不同的解决方案。

  让我们从简单、没有实际意义的评估开始。 当然,并不总是这样,你得到你所付出的东西,但有一个复杂的主题,如数据?;?,甚至GDPR,那么你真的会得到你所支付的。

  接着,将会面临更全面的咨询活动。 其中有多少涉及常规咨询,以及他们能为数据?;ね贫嗌偌壑? 我已经看到很多这些报告被放置一个积满灰尘,这就是为什么它通常被称为货架。

  没什么不对的,但是我很难确定客户在确定正确的后续步骤和优先级方面的优势。

  它需要认真的实践知识,经验和商业上的同情来决定什么是可能的,应该以什么顺序来做什么,以及什么应该被记录和接受的风险。 事实是,顾问没有兴趣赋予你权力。 在许多情况下都是按照你的思路进行评估

  有目共睹的方法

  另一个常见的方法是在软件系统中寻求解决GDPR /数据?;さ哪承┓矫?。

  例如,对数据进行加密,是许多人提供的灵丹妙药。 这听起来不错,但在实际的数据?;し矫嫒词欠浅Cつ康淖龇?,并且否定了没有系统会发现所有数据的事实。 当然,数据也需要被访问,所以加密不能成为处理开销。

  作为一名攻击者,我也许会做出一些妥协,可以合法访问一些数据,这个系统会为我解密,然后我就得到了你的数据, 这是阻力最小的路径。

  最终的共同产品可能来自数百家公司,他们认为如果不首先了解您的业务,想要使您的企业符合GDPR规范,是不可能的。

  每个企业都各自不一样,独特的处理数据的方式。 数据泄露也是如此 - 我们可以从违规组织中学到什么? 一点都没有。

  数据泄露的方式与你所在企业、组织所在领域息息相关,以至于有一些方式适用一些企业,有些方式不适用。

  如果你不了解一个组织的细微差别和复杂性,他们的流程和未来愿景,那么你怎么能够提出让他们遵从任何事情呢? 这些现成的,一刀切的系统也是无用的。

  很多组织为此花了很多资金,却没达到预期效果。

  要DPO还是不要?

  我们已经认识到了网络技能的差距 - 或者说是鸿沟。 我们可以争论这个差距的广度,但是确实存在。 如果你正在寻找适当的技术安全资源,那么差距就会扩大。

  现在我们有另外一个角色需要一些非常相似的专业知识 - 也许不是那些已经被抛弃的忍者级的例子,但是我们需要一个认识到GDPR规则,数据?;ぶ魈?,业务,流程和所有 随之而来。

  当猎头公司竞相填补技能缺口时,会出现一个很大的就业市场,对GDPR的严格解释表明将需要数以万计的数据?;す僭?DPO),许多人员和组织 利用机会赚钱。

  从你的角度来看,你怎么知道要寻找什么,或者你正在招聘或承包什么是好的? 大多数情况下,你将如何衡量它将被隐藏起来? 你可能会成为一个可怕的DPO,因为大多数组织都是完全无知的,没有任何办法来测试他们的投资价值。

  要找到合适的资源是很困难的,要有适当的权力和报酬才能把握好这一点。 这很难,但如果你做对了,也是非??尚械?。

  真正的从业者

  当你,你可以外包DPO。 这也不错,但,大多数咨询公司将不会提供有丰富经验的人,因为没有那么多人去。

  我会建议了解DPO在这个领域以及在哪里做过的外包工作。 如果他们只做过理论,那就不要雇用他们。

  寻找一个懂得真正评估一个组织的人,并明白正面的变化 - 一个了解风险和业务流程的人。 他们很难得到,但是为什么你要雇用DPO,除非你认真对待数据?;?

  当您查看涵盖DPO要求的GDPR第39条中规定的技能组时,您不认为这个人对您的团队是一个很好的补充吗? 除非你只是勾选了“我有一个DPO”框,在这种情况下,祝你好运。

  DPO应该是一个适当的实践者 - 不是一个业余爱好者或刚刚毕业的大学毕业生,而应该是了解数据?;?,具有这方面实践经验的人。不要去找只是对理论知识懂得全面的人,而要去找一个在复杂的组织中工作的人,他们仍然能够提供对业务运作透明并支持业务愿景的积极成果。

  你做错吗?

  如果您试图以低廉的价格实现这一目标,因为您无法看到强大而有弹性的数据?;げ呗缘募壑?,那么您就错了,而且您正在冒很大的风险。

  数据?;げ灰欢ê馨汗?。 它需要集中在正确的领域,从现在的位置提供明显的回报和显着的改善。 为了获得现在的位置,你必须了解业务。 这不可能发生任何其他的方式。

  评估是使组织成为明智的客户并寻求修复具体风险的关键,为法律团队和董事会提供可以辩护的立场。 证明数据?;ぜ苹诓挠跋?,即使只是为了您的律师,也会有很多快速的胜利。

  经营策略

  数据?;びΩ檬瞧笠嫡铰院鸵滴褡偷暮诵?。 它使您能够默认构建数据?;?。 这不是一件容易的事情,但是这是一项商业上的必要措施,它使您能够在数据透明度和维护方面利用您的转变来获得优势。

  如果您对程序进行数据?;?,则可能会将成本降低大约三分之一。 安全或数据?;さ母慕羌枘训?,繁琐的,昂贵的,并且往往不利于整体业务结果的变化。 预先构建它可以让您构建透明的数据?;?,而不会妨碍预期的业务成果。

  太频繁改变策略的公司会错过适应或利用变化的机会。 检测“故障线路”对于生存至关重要,而当涉及到?;な莸钠笠的勘晔?,您可能会认为:作为企业领导者,您在哪里丢失或解散了您的重大故障的所有警告信号 商业?

  要知道如何做到这一点,不要只是想“购买”数据?;?- 这是行不通的。
第二十八届CIO班招生
法国布雷斯特商学院MBA班招生
法国布雷斯特商学院硕士班招生
责编:zhangxuefeng

  • 国家智库成员:这方面中国最可能赶超世界 千万别错过 2018-12-10
  • 楼顶建起1.7万平方米运动场   “8D重庆”又现网红建筑 2018-12-09
  • 习近平欢迎出席上海合作组织青岛峰会的外方领导人 2018-12-09
  • 土拍活跃 西咸新区四天共18宗土地成交 2018-12-09
  • [网连中国]赛龙舟 包粽子 办诗会……全国各地品民俗迎端午 2018-12-09
  • 中国射击队“老枪”群像 岁月如梭准星不老 2018-12-08
  • 凰家街采:你期待的长江时代 ——凤凰网房产武汉 2018-12-08
  • 新疆公益组织,公益求助,晨报救命血联盟 2018-12-08
  • 西安一男子伙同他人制假 将工业醋酸变身食用醋 2018-12-07
  • A站受黑客攻击:近千万条用户数据外泄 涉ID及密码等 2018-12-07
  • 伊朗小组第三稳了。葡萄牙和西班牙就拼净胜球排小组前两名了。 2018-12-07
  • C罗身材真棒,他就站在我身旁! 2018-12-06
  • 回复@不能这样啊:不谋生就不能谋自我实现啊?你以为都跟瓜娃子一样只相反谋生? 2018-12-06
  • 国家主席习近平发表二〇一七年新年贺词 2018-12-05
  • 宝马中国创新日暨上海研发中心揭幕 专注于高新技术 2018-12-05
  • 552| 343| 480| 689| 462| 711| 893| 864| 231| 834|