【51CTO.com快譯】由于大數(shù)據(jù)眾所周知，數(shù)據(jù)的數(shù)量和復(fù)雜性已大大增加，這與事務(wù)記錄系統(tǒng)(SOR)的時(shí)代已不可同日而語(yǔ)。來(lái)自新數(shù)據(jù)源的這些新型數(shù)據(jù)，加上企業(yè)組織將數(shù)據(jù)變成其他信息的種種方式，給隱私、安全和妥善保管方面的合規(guī)實(shí)踐帶來(lái)了獨(dú)特的挑戰(zhàn)。

律師邁克爾·R·奧弗列(Michael R. Overly)早在2015年2月份在《CSO》雜志上的一篇文章中寫(xiě)道：“大數(shù)據(jù)合規(guī)方面的挑戰(zhàn)，加上這越來(lái)越多的一堆亂糟糟的法律、監(jiān)管、標(biāo)準(zhǔn)和合同義務(wù)，讓人不知所措。”奧弗列是富理達(dá)律師事務(wù)所(Foley & Lardner LLP)駐洛杉磯辦事處的合伙人，主管技術(shù)交易及外包、隱私、安全和信息管理等業(yè)務(wù)。

奧弗列表示：“即便沒(méi)有任何個(gè)人身份信息岌岌可危，企業(yè)還是有義務(wù)要落實(shí)適當(dāng)?shù)陌踩胧Ｗo(hù)其他高度敏感的信息，比如與其商業(yè)機(jī)密、營(yíng)銷活動(dòng)、業(yè)務(wù)合作伙伴關(guān)系等方面有關(guān)的信息。許多公司常常只關(guān)注法律、監(jiān)管、標(biāo)準(zhǔn)和指引這片森林中的某一顆樹(shù)或樹(shù)枝，而沒(méi)有認(rèn)識(shí)到或者甚至沒(méi)有看到其他附近的樹(shù)及其關(guān)系，當(dāng)然很少拉開(kāi)適當(dāng)?shù)暮笸司嚯x，冷靜地分析一下，以便全面了解合規(guī)這片森林。”

這片大數(shù)據(jù)合規(guī)森林涉及多個(gè)物種，駐留在其中的數(shù)據(jù)來(lái)自視頻、照片、音頻記錄、機(jī)器和第三方廠商。數(shù)據(jù)分析員執(zhí)行數(shù)據(jù)清理和混合，以便獲得業(yè)務(wù)領(lǐng)導(dǎo)人需要的基本分析結(jié)果。在這個(gè)過(guò)程中，數(shù)據(jù)開(kāi)始轉(zhuǎn)換成新的數(shù)據(jù)形式。數(shù)據(jù)不斷演變成新的數(shù)據(jù)形式時(shí)，全部這些活動(dòng)讓公司很難執(zhí)行合規(guī)工作。

[[176790]]

奧弗列認(rèn)為，公司想要應(yīng)對(duì)大數(shù)據(jù)合規(guī)挑戰(zhàn)，唯一的辦法就是制定一套企業(yè)框架，以應(yīng)對(duì)大數(shù)據(jù)合規(guī)。這套框架要處理好諸多方面，除了數(shù)據(jù)外，還要兼顧數(shù)據(jù)駐留在其中的系統(tǒng)，誰(shuí)可以訪問(wèn)這些系統(tǒng)，以及是否可以信賴這些數(shù)據(jù)是準(zhǔn)確的數(shù)據(jù)。

大數(shù)據(jù)合規(guī)方面要考慮的另外問(wèn)題包括：評(píng)估各種類型的大數(shù)據(jù)風(fēng)險(xiǎn)，評(píng)估知識(shí)產(chǎn)權(quán)的保護(hù)情況，以及向利益相關(guān)方和客戶做出適當(dāng)?shù)姆赏嘎逗统兄Z。企業(yè)在評(píng)估這些方面、制定政策時(shí)，應(yīng)該向外面的法律顧問(wèn)或?qū)徲?jì)人員尋求忠告，討教***實(shí)踐。

向IT管理員及領(lǐng)導(dǎo)大數(shù)據(jù)項(xiàng)目的其他人傳達(dá)的訊息就是，現(xiàn)在考慮大數(shù)據(jù)合規(guī)，并為此采取措施不算太早。你應(yīng)該圍繞大數(shù)據(jù)制定一套可靈活擴(kuò)展的合規(guī)框架，確保所有利益相關(guān)方都了解它。下面是大數(shù)據(jù)和分析管理員除保護(hù)系統(tǒng)和數(shù)據(jù)訪問(wèn)安全外還應(yīng)該采取的三個(gè)步驟：

1、評(píng)估大數(shù)據(jù)合規(guī)工作

大多數(shù)公司很少開(kāi)始制定大數(shù)據(jù)合規(guī)計(jì)劃。它們使用之前用于事務(wù)記錄系統(tǒng)的數(shù)據(jù)保管、隱私和安全方面的IT準(zhǔn)則，它們向利益相關(guān)方和客戶發(fā)布年度隱私和安全報(bào)告。遺憾的是，這其實(shí)并沒(méi)有真正考慮到大數(shù)據(jù)和大數(shù)據(jù)轉(zhuǎn)換的獨(dú)特性。

如果公司決定銷售數(shù)據(jù)，現(xiàn)在沒(méi)有太多的政策針對(duì)這些數(shù)據(jù)的隱私、安全和所有權(quán)。在這一系列數(shù)據(jù)轉(zhuǎn)換和改頭換面中，企業(yè)組織必須確定在哪些點(diǎn)執(zhí)行合規(guī)、如何執(zhí)行以及為何執(zhí)行。

2、評(píng)估貴企業(yè)如何保護(hù)文檔的安全

在許多情況下，孤立的業(yè)務(wù)部門(mén)有紙張記錄，但是它們也一直在實(shí)行數(shù)字化，增添這些記錄。其中一些信息是高度敏感的，包括患者健康記錄和財(cái)務(wù)記錄，可能還包括公司商業(yè)機(jī)密和專利設(shè)計(jì)。

可能已落實(shí)了標(biāo)準(zhǔn)的安全措施(包括限制進(jìn)入房間、訪問(wèn)系統(tǒng))，但是如果你的大數(shù)據(jù)策略認(rèn)為這種數(shù)據(jù)與其他記錄系統(tǒng)或第三方數(shù)據(jù)結(jié)合起來(lái)很重要，該如何是好?開(kāi)始越過(guò)擁有自己的合規(guī)規(guī)則的傳統(tǒng)數(shù)據(jù)庫(kù)之間的界線時(shí)，就需要重新考慮合規(guī)。

3、制定管理大數(shù)據(jù)合規(guī)的新策略

在關(guān)系數(shù)據(jù)庫(kù)使用結(jié)構(gòu)化數(shù)據(jù)的早期日子，很容易識(shí)別和檢索敏感數(shù)據(jù)，因?yàn)閿?shù)據(jù)搜索簡(jiǎn)單又直觀。大數(shù)據(jù)就不是這樣，大數(shù)據(jù)是完全非結(jié)構(gòu)化的，也不可預(yù)測(cè)，很難搜索按照監(jiān)管準(zhǔn)則需要保護(hù)的敏感數(shù)據(jù)。這就是為何制定管理大數(shù)據(jù)合規(guī)的新策略很重要。

跟上大數(shù)據(jù)合規(guī)方面的***進(jìn)展

大數(shù)據(jù)合規(guī)涉及另外許多方面，包括專門(mén)針對(duì)大數(shù)據(jù)新涌現(xiàn)出來(lái)的合規(guī)措施。IT決策者及其他負(fù)責(zé)大數(shù)據(jù)的人士應(yīng)該密切關(guān)注這些新方面的動(dòng)向。

原文標(biāo)題：3 tips to reducing big data compliance risks，作者： Mary Shacklett

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】