自2018年5月25日，歐盟《通用數(shù)據(jù)保護條例》GDPR(General Data Protection Regulation)正式生效以來，凡受到該條例管轄的組織都必須依照《條例》規(guī)定，證明自身的合規(guī)性，包括數(shù)據(jù)記錄和活動處理、完成隱私影響評估，以及定期執(zhí)行隱私審計和政策審核。以下是專家們建議您在進行合規(guī)性審核時，應該采取的幾大關(guān)鍵步驟。

[[239175]]

對許多組織而言，為滿足歐盟《通用數(shù)據(jù)保護條例》(GDPR)合規(guī)性而進行的準備工作是一項非常耗時的工程。不幸的是，這項工程至今尚未“完工”。如今，雖然GDPR已經(jīng)正式生效，但是相關(guān)組織仍然需要定期進行內(nèi)部審核，以評估自身合規(guī)水平。一旦發(fā)生違規(guī)或投訴事件時，你就會意識到記錄這些審核的能力有多么重要，因為它像我們證明了善意的努力從來不會白費，它可以幫助我們避免重大的損失。

審核工作非常重要，因為“問責制”是GDPR的原則之一，而且組織需要依照《條例》規(guī)定，定期執(zhí)行隱私審計和政策審核，作為其證明自身合規(guī)性的一部分。

此外，有效的審計工作還可以幫助組織發(fā)現(xiàn)其計劃中的問題或錯誤，從而在發(fā)生違規(guī)事件或遭到質(zhì)疑時，能夠向監(jiān)管機構(gòu)提交相關(guān)記錄，協(xié)助其完成相關(guān)調(diào)查。合規(guī)并不是一項“設(shè)定-忘記”的項目，組織應該遵循GDPR規(guī)定并定期進行監(jiān)督審核，以確保其符合GDPR要求。

實施GDPR審核是非常重要的一項任務，它需要檢查用于處理所需任務的流程是否到位，包括數(shù)據(jù)的“可遺忘權(quán)”(Right to be Forgotten，即當用戶不再希望個人數(shù)據(jù)被處理并且數(shù)據(jù)控制者已經(jīng)沒有合法理由保存該數(shù)據(jù)，用戶有權(quán)要求刪除數(shù)據(jù))和數(shù)據(jù)可轉(zhuǎn)移權(quán)(data portability，即數(shù)據(jù)主體可以無障礙的將其個人數(shù)據(jù)以及其他數(shù)據(jù)資料從一個信息服務提供者處轉(zhuǎn)移至另外一個信息服務提供者)，以及數(shù)據(jù)保護官們(data protection officers，簡稱DPOs)和員工在發(fā)生違規(guī)事件時知道應該怎么做。

通過對必要流程進行全面審計，可以為組織提供用于流程改進的依據(jù)和具體措施。此外，它也為組織提供了一個關(guān)鍵的合規(guī)要素——即證明組織在出現(xiàn)違規(guī)或遭遇投訴之前就已經(jīng)制定了這樣的流程，并正在正常運行中。具體而言，它可以幫助提高一般調(diào)查響應準備工作，這是所有組織都應該做的事，因為它可以盡可能地降低數(shù)據(jù)丟失的風險。

GDPR審核工作可能需要涉及安全工作以外的人員，包括數(shù)據(jù)治理、IT、法律以及人力資源等方面的人員。當然，重點還需放在網(wǎng)絡(luò)安全項目上。為了實現(xiàn)GDPR的合規(guī)性審核任務，安全專家們建議組織可以采取如下關(guān)鍵步驟：

1. 制定GDPR審核計劃

專家們表示，實施審核的***步就是制定詳細的審核計劃，并明確一套書面的、可操作和可分配的流程，然后逐步按照計劃和流程完成合規(guī)性審核工作。對于那些剛剛著手制定此類計劃的人來說，ISO(國家標準組織)為他們的流程提供了模板。雖然該模板并非特定于GDPR的要求，但是它解釋了如何創(chuàng)建適當?shù)目刹僮餍杂媱潯⒃敿毭鞔_了個人的負責內(nèi)容，以及何時應該采取何種行動等等。

作為初始階段的一部分，公司需要評估他們收集的歐盟居民數(shù)據(jù)，存儲位置以及處理方式和地點等信息。審核工作順利開展的重要因素之一，就是要確保正確地識別了這些數(shù)據(jù)，一旦確定，就可以按部就班的執(zhí)行合規(guī)行動。

例如，是誰在負責跟蹤這些數(shù)據(jù)，以根據(jù)歐盟居民的要求來移除或轉(zhuǎn)移此類數(shù)據(jù)?你如何確保此類請求是合法的?你如何確保數(shù)據(jù)得到了正確地處理?如果要刪除數(shù)據(jù)，則需要確保包括數(shù)據(jù)備份在內(nèi)的所有存儲庫都已經(jīng)得到了正確地更新和清理。

因此，這份審核計劃中應該確定一種方法，以識別哪些歐盟居民的詳細信息得到了披露，以及這些記錄是否受到加密保護等。審核計劃應該顯示每個案件的處理方式。***實踐還將提供完整的取證審計跟蹤，以幫助應對質(zhì)疑和投訴，并證明自身合規(guī)性。

在為GDPR構(gòu)建審計計劃時，一定要記住，公司需要了解他們在整個生命周期中持有的數(shù)據(jù)。不幸的是，GRPR是一個模糊的規(guī)則，給我們留下了許多開放式問題，這無疑也增加了合規(guī)問題的復雜性。話雖如此，我還是建議各組織圍繞個人數(shù)據(jù)的生命周期來實施審核計劃，這包括對個人數(shù)據(jù)進行分類，管理數(shù)據(jù)風險，安全性和供應鏈等。

2. 尋找GDPR合規(guī)差距并報告調(diào)查結(jié)果

在GDPR背景下，查看您當前的合規(guī)計劃，這包括處理記錄、數(shù)據(jù)主體訪問請求流程、技術(shù)和安全控制、隱私原則以及數(shù)據(jù)傳輸機制。

GDPR影響了組織內(nèi)的大多數(shù)部門。審核工作的“發(fā)現(xiàn)階段”將包含訪談和文件/政策審查，以及任何部門處理個人數(shù)據(jù)或負責與個人數(shù)據(jù)有關(guān)的治理、運營或技術(shù)控制措施。這些因素將決定組織與GDPR規(guī)則保持一致性的能力。“發(fā)現(xiàn)階段”應該包含組織在滿足具體合規(guī)要求方面的有效性，主要包括：

• 數(shù)據(jù)主體訪問請求;
• 隱私原則;
• 技術(shù)和安全控制;
• DPO適用性;
• 數(shù)據(jù)處理者(Data Processors)監(jiān)督和合約;
• 數(shù)據(jù)泄露響應和通知監(jiān)督機構(gòu)和數(shù)據(jù)主體;
• 隱私影響評估方法;
• 通過設(shè)計和默認來證明數(shù)據(jù)保護;
• 持續(xù)監(jiān)督合規(guī)計劃;

一旦“發(fā)現(xiàn)階段”完成，審核人員需要概述當前流程和任何存在出入的區(qū)域。這就涉及要生成一份報告，來顯示組織與GDPR規(guī)則保持一致性的能力。該報告可以涉獵很多內(nèi)容，包含有關(guān)需要進行改進部分的詳盡結(jié)果和建議等;或者它也可以像“達標”或“未達標”評級一樣簡單，但需要注意的是，“未達標”類別下的任何內(nèi)容都需要及時進行改進。

3. 優(yōu)先考慮并彌補GDPR合規(guī)性方面的差距

接下來，審核團隊需要根據(jù)特定區(qū)域的風險級別，來確定不合規(guī)區(qū)域的優(yōu)先級。在進行補救工作時，需要采取基于風險的優(yōu)先級評定方法。例如，監(jiān)管機構(gòu)曾在會議上表示，他們將把監(jiān)管重點放在違規(guī)行為和組織促進合法主體訪問請求的能力上。如果說您的組織缺乏該領(lǐng)域的合規(guī)性，我們建議您及時完成補救工作。

在確定風險時應該考慮的因素還包括發(fā)生概率、與監(jiān)管不一致的程度，以及發(fā)生侵權(quán)時的業(yè)務影響。從風險***的領(lǐng)域開始，對“發(fā)現(xiàn)階段”識別出的GDPR合規(guī)性差距進行及時補救。

鑒于監(jiān)管范圍和要求的廣度，單靠一個人或一個團隊根本不太可能彌補“發(fā)現(xiàn)階段”識別出的GDPR合規(guī)性差距。為此，組織可以向負責補救和現(xiàn)實截止日期的相關(guān)所有者分配任務。

在該階段的工作中，至關(guān)重要的一點就是要了解這樣一個事實：一些補救項目將比其他補救項目耗時更久。例如，技術(shù)修復和升級可能需要更多預算和人員支持;或者數(shù)據(jù)主體權(quán)(data subject rights)可能需要為那些負責最終用戶請求的前端處理團隊成員提供開發(fā)培訓。

4. 測試修復成果

既然審核團隊已經(jīng)投入了大量時間和資源來尋找并修復合規(guī)性差距，那么確保組織的流程和系統(tǒng)能夠滿足GDPR要求將至關(guān)重要。

測試并重新測試組織已經(jīng)實施的控制措施，以確保彌補差距，并解決可能出現(xiàn)的任何問題。一旦差距彌補過程順利完成，那么確保組織的流程和系統(tǒng)能夠滿足GDPR要求就成為審核工作接下來要完成的重點內(nèi)容。

值得注意的是，這是一個持續(xù)的過程。組織需要定期執(zhí)行審核，以確保隱私和合規(guī)性計劃正在按預期運行。問責制是GDPR的一項原則，組織必須實施持續(xù)的監(jiān)督和執(zhí)行計劃，以測試隱私計劃在滿足GDPR要求方面的有效性。

此外，安全專家還表示，為滿足GDPR和數(shù)據(jù)隱私要求，組織還需要納入常規(guī)風險分析。法規(guī)的某些方面可能并不適用于所有公司，包括人命DPO或維護數(shù)據(jù)處理活動的記錄等。為此，審核工作本身可以幫助組織更好地理解GDPR合規(guī)性要求。

GDPR“自我審核”的額外好處

執(zhí)行GDPR審核需要花費大量時間、金錢和其他資源。然而，這種投資所帶來的回報可能遠遠不止能夠幫助組織降低罰款風險。專家表示，在“自我審核”方面表現(xiàn)良好的積極意義遠大于執(zhí)行審核所花費的成本和付出。

例如，Teradata公司的安全專家John Timmerman就將“自我審核”視為展示客戶支持的一種方式。他認為，每個受GDPR影響的營銷組織都應該成為行業(yè)領(lǐng)先者，在如何保護客戶資源和宣傳自身優(yōu)勢方面起到行業(yè)表率作用。但是，令人驚訝的現(xiàn)實是，很多組織仍然簡單地將GDPR視為一個指令，而非一次實現(xiàn)自身發(fā)展的機遇。市場***應該牢牢地抓住此次發(fā)展機遇，通過向客戶展示自己如何以及為何使用這些數(shù)據(jù)為客戶提供更好的服務，來***限度地征服人心，搶占市場。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文