《通用数据保护条例》将更好管理个人数据的责任推给了企业。但他们知道GDPR定义的个人数据在哪里吗?有些地方很容易被忽视。欧盟的GDPR将大大改变公司和企业对数据保护的态度和方式。安全团队的响应能力将退居二线,{粗体}找出个人数据存储位置的速度和准确性将被放在首位。个人数据问题已经成为企业最担心的问题。(编者按:这也是BigID赢得RSA创新沙盒冠军的关键原因)5月25日生效的闸门即将倒下,但很多企业仍持有大量个人身份信息(PII,来自cookie数据到设备标识)从字符到IP地址,都属于PII的范畴),这些信息广泛分布在现场系统和云端。在您进入这个模糊的世界之前,请确定您的企业是数据控制者还是处理者。什么是个人身份信息?它是如何使用的?根据GDPR,个人数据处理的范围比以前的地方数据保护法规更广泛。GDPR第2条规定,该条例适用于全部或部分通过自动化方式进行的个人数据处理,除通过自动化方式外,该处理形成或旨在形成归档系统的一部分。那么,个人数据的定义到底是什么?第四条中,个人数据是指“与已识别或者可识别自然人(数据主体)有关的任何信息;可识别自然人是指可以直接或者间接为姓名、身份证号码、位置信息、在线ID或者任何号码的个人信息。该自然人的身体、生理、遗传、心理、经济、文化或社会身份所特有的因素。”即个人数据包括IP地址和cookie数据,GDPR引入了主题审查请求(SAR)、被遗忘/删除权、数据可移植性等新概念,欧盟公民现在有权知道收集了哪些数据在他们身上,PII无处不在,从电子邮件和社交平台到人力资源(HR)、人力资源管理(HCM)和客户关系管理(CRM)系统,这是公司关注的来源。范围界定是第一步否无论您的公司有多大或多小,不知道您的数据位于何处都是一件麻烦事。以英国酒吧连锁店Wetherspoons为例。该公司显然删除了其500,000多个电子邮件营销数据库并重新开始,大概是觉得他们将不再获得适当管理和保护个人数据的许可。当时,该公司在发给媒体的一份声明中表示:“总的来说,我们甚至不想保留客户的电子邮件地址。我们持有的客户信息越少,与这些数据相关的风险就越小。“企业需要先认清自己是数据处理者还是数据控制者,手中掌握的是什么数据。第一步是确定谁有权访问PII数据,是控制者还是处理者。位置也需要掌握的,比如是否是基于云的邮件系统。下一步是找出这些数据的风险和安全状态,并确定自动化处理流程。了解影响公司GDPR覆盖范围的法律是也是正确遵守GDPR法规的重要一步。查找意外PII的步骤GDPR列出了个人数据处理的6个法律原因:同意、合同、法律义务、切身利益、公共使命和合法利益。一旦掌握了PII及其位置被识别出来,公司需要提供持有这个PII或者改变流程的法律依据,及时停止引入不需要的PII。首先,你是怎么发现PI的我?在核心操作系统之外,以下位置是PII最有可能隐藏的地方:云应用程序,包括公司允许的在线文件共享服务的应用程序可移动载体物理存储(文件柜)临时文件的第三方/供应链提供沙盒/测试系统备份系统员工设备GDPR是真正的数据保护法规,无论是模拟数据还是数字数据;因此,我们应该做的第一件事就是退后一步,环顾四周,看看所有可以将材料写下来、打印、扫描或创建并存储为数字内容的地方。影子IT将包含许多不应存在的个人数据,以及可移动U盘和备份系统也是隐藏个人数据的潜在场所。真的要到处翻找,字面意思是“到处翻找”,包括文件柜、第三方存储、文件服务器等。知道什么是个人数据是第一步,所以信息分类是前提。只有经过分类,你看到数据的时候才会知道是不是个人数据。一些公司必须两次返工个人数据搜索过程是由于没有首先标准化您要查找的内容。或许,在CambridgeAnalytica丑闻之后,供应链也将很快感受到GDPR的影响:供应链绝对是一个需要被搜索的地方。备份和文件柜也应该寻找它。与此同时,请记住,GDPR恰好出现在人类知识大迁移的中间。所谓大迁移,就是从本地存储向云存储迁移。迁移本身并不是一件坏事,通常会降低存储成本或避免硬盘存储空间耗尽。所以大部分企业都是整体迁移,甚至对迁移的内容都没有完全了解。肯定会有各种敏感的个人数据会在不经意间被转移到云端。测试系统中也使用了太多的真实数据。对于许多企业而言,非结构化数据可能是一个盲点。共享文件夹、临时硬盘驱动器等都是盲点,并且没有简单的方法来搜索个人数据,这比更容易理解的PII更广泛。许多公司使用第三方服务来实现员工服务、工资支付、养老金、保险等。所有此类第三方公司都持有大量有关客户公司员工的敏感数据。与其通过尽职调查的视角来看待这些公司,不如想想这些信息是如何共享的。如果您在加密附件中来回发送电子邮件,您不仅在等待意外发送到错误的地址,而且还会造成更大的问题——数据正在通过电子邮件存档等方式在内部激增。企业该如何进行?过程很重要!GDPR要求实施“适当的技术和组织方法来维持与风险相适应的安全级别”。因此,为了证明一家公司拥有正确的方法,需要记录IT基础设施和流程,并且需要评估风险。需要仔细监控影子IT、保留、权限、共享和访问控制,并且需要考虑每个业务流程和GDPR对这些流程的影响的各个方面。应优先考虑两项关键行动。首先,设定管理项目风险和实现“初始安全”的流程。第二,定义个人数据,执行发现过程以在BAU中查找个人数据,然后执行高级别风险评估和分类过程,采用一些关键控制来实现所需的80%的个人数据安全性。例如,访问控制审查、日志记录和监控、漏洞管理等都可以入选十大关键控制技术。虽然加密和伪匿名性很棒,但它们实际上很容易实现。这些技术非常适合保护数据,但如果使用不当,它们也会让公司产生数据受到保护的错觉,而实际上数据已经丢失。太多的公司和企业连基础工作都没有做好。比如某跨国银行,不知道自己有多少台服务器,这些服务器是干什么用的。这种企业可能谈不上GDPR合规。最好将个人数据筛选和风险评估优先于任何特定的技术控制。ICO已经充分暗示了一种基于风险的方法。要真正做到以风险为基础,找出风险概况是基础。公司还应避免被声称提供“符合GDPR标准”的产品只是为您提供某些特定问题的解决方案的供应商牵着鼻子走。【本文为专栏作家“李少鹏”原创文章,转载请通过平安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
