強調(diào)合規(guī)性的數(shù)據(jù)存儲管理人員應(yīng)該遵循行業(yè)機構(gòu)分析師推薦的策略，其中包括采用自動化技術(shù)和匿名數(shù)據(jù)。

存儲專業(yè)人士如今有很多事情要做，但在隱私法規(guī)范圍不斷擴展的時代，他們的任務(wù)清單卻在不斷增加。包括GDPR法案、薩班斯-奧克斯利法案、HIPAA、PCIDSS、CCPA等法規(guī)在內(nèi)的隱私法規(guī)使企業(yè)確保其存儲數(shù)據(jù)的合規(guī)性如今成為一項更大的挑戰(zhàn)。

然而，存儲專家是否承擔(dān)相對于企業(yè)中其他人更多的合規(guī)性責(zé)任因行業(yè)領(lǐng)域和企業(yè)規(guī)模而異。IDC公司分析師Andrew Smith表示，在零售行業(yè)等監(jiān)管較少的行業(yè)中，當(dāng)涉及到安全規(guī)則和合規(guī)性操作時，更常見的是看到存儲專業(yè)人員的責(zé)任更加廣泛。另一方面，在醫(yī)療保健公司等高度監(jiān)管的行業(yè)中，負責(zé)安全和合規(guī)性的專門團隊通常更為普遍，有時由首席數(shù)據(jù)官提供支持。

對于大多數(shù)企業(yè)來說，最主要的合規(guī)性驅(qū)動因素包括以下內(nèi)容：

• GDPR?！锻ㄓ脭?shù)據(jù)保護條例》(GDPR)控制與歐盟(EU)公民相關(guān)的數(shù)據(jù)保護和隱私，限制數(shù)據(jù)移動以及數(shù)據(jù)的使用方式。由于其廣泛的定義和難以承受的處罰，GDPR法規(guī)是所有數(shù)據(jù)管理員最關(guān)心的問題，他們必須非常謹慎以避免其陷阱。
• 薩班斯-奧克斯利法案。該法案是一項美國在2002年發(fā)布的金融法規(guī)，它對在美國上市的公司采用了嚴格的數(shù)據(jù)保留規(guī)則。存儲專家必須注意法規(guī)所涵蓋的數(shù)據(jù)。
• HIPAA。1996年的《健康保險流通與責(zé)任法案》(HIPAA)是一項復(fù)雜的法規(guī)，涵蓋的不僅僅是數(shù)據(jù)。但是，其最相關(guān)的功能旨在保護與個人相關(guān)的醫(yī)療信息的隱私和機密性。因此，它關(guān)注數(shù)據(jù)的保留和訪問控制。
• PCIDSS。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準旨在保護存儲在任何地方的消費者信用卡信息——既防止欺詐又保護隱私。處理此類數(shù)據(jù)的組織需要接受各種定期審計。
• CCPA?！都永Ｄ醽喯M者隱私法》(CCPA)是一項在概念和后果上與歐盟GDPR相似的州法律。

研究機構(gòu)Enterpris Strategy集團分析師Christophe Bertrand指出，所有這些法規(guī)的最主要問題是了解企業(yè)擁有哪些數(shù)據(jù)以及哪些法規(guī)適用于這些數(shù)據(jù)。一旦確定，合規(guī)性就更容易管理。

存儲合規(guī)性角色和職責(zé)

IDC公司分析師Andrew Smith說，“通常情況下，我們看到存儲專業(yè)人員負責(zé)數(shù)據(jù)管理和記錄保護的基礎(chǔ)知識，無論數(shù)據(jù)類型如何。”他表示，這可能包括確保數(shù)據(jù)可用并受到保護(復(fù)制和備份)，而不管其數(shù)據(jù)類型如何，將提供適當(dāng)?shù)脑L問控制和流程，并確保合規(guī)性。

他表示，歸檔和電子發(fā)現(xiàn)之間的關(guān)系通常是學(xué)科交叉的一個很好的例子。存儲管理員通常負責(zé)數(shù)據(jù)歸檔、數(shù)據(jù)策略、元數(shù)據(jù)和訪問。然后，合規(guī)專家將使用存檔中的原生工具或在集成應(yīng)用程序的幫助下訪問這些數(shù)據(jù)，用于監(jiān)視或電子發(fā)現(xiàn)目的。他補充說，“它們所扮演的角色非常不同，但都是信息治理目標(biāo)不可或缺的一部分。”

Smith說，“在通常情況下，數(shù)據(jù)仍由IT組織中的存儲或數(shù)據(jù)經(jīng)理管理。對于SaaS應(yīng)用程序，這變得更加多樣化，可能經(jīng)?？吹綐I(yè)務(wù)應(yīng)用程序所有者在他們使用的特定SaaS應(yīng)用程序范圍內(nèi)承擔(dān)數(shù)據(jù)管理任務(wù)。”

不過他表示，在與供應(yīng)商和買家的溝通和對話中，存儲、數(shù)據(jù)管理、數(shù)據(jù)安全和法規(guī)遵從性之間的界限似乎開始模糊。在過去幾年中，市場已轉(zhuǎn)向為數(shù)據(jù)管理、數(shù)據(jù)彈性和數(shù)據(jù)平臺提供平臺和服務(wù)。

Smith表示，市場朝著這個方向發(fā)展的很大一部分原因是存儲專業(yè)人士必須“少花錢多辦事”。隨著企業(yè)對其運營、產(chǎn)品和服務(wù)的大部分實現(xiàn)數(shù)字化，存儲容量繼續(xù)呈指數(shù)級增長。這給存儲專業(yè)人員和IT管理員帶來了額外的負擔(dān)，以確保以經(jīng)濟高效的方式存儲企業(yè)數(shù)據(jù)，并且更廣泛的應(yīng)用程序和業(yè)務(wù)部門可以輕松訪問被認為是“關(guān)鍵任務(wù)”的數(shù)據(jù)。而目前流行的主題是“數(shù)據(jù)是新的石油，數(shù)據(jù)是最寶貴的資產(chǎn)”，企業(yè)面臨著捕捉和保留比以往更多的數(shù)據(jù)的壓力，并希望這些數(shù)據(jù)能夠以新穎的方式實現(xiàn)貨幣化。他補充說，“在許多情況下，存儲管理員需要經(jīng)濟高效地管理存儲系統(tǒng)，這將面臨一個艱難的處境。”

盡管存儲和IT專業(yè)人員可能不具備滿足所有合規(guī)性要求或阻止每次網(wǎng)絡(luò)攻擊所需的所有工具和知識，但他們絕對是第一道防線，并且是企業(yè)數(shù)據(jù)戰(zhàn)略的一個重要組成部分。Smith說。“當(dāng)我們向存儲經(jīng)理詢問隱私法和合規(guī)性時，大多數(shù)人表示擔(dān)心其企業(yè)的合規(guī)能力。這些人通常關(guān)注性能、管理和安全等方面的挑戰(zhàn)，尤其是云存儲服務(wù)的安全性。”

存儲合規(guī)性的最佳實踐

Smith和其他分析師為關(guān)心如何應(yīng)對合規(guī)性挑戰(zhàn)的存儲專業(yè)人士提出了六個建議或最佳實踐，其中包括：

(1) 記錄行動

準備好證明政策和做法的合理性。Bertrand表示，所有法規(guī)都可以解釋，有些法規(guī)故意含糊不清，實際上具體規(guī)定了使用現(xiàn)代的做法。這意味著需要有某種關(guān)于存儲策略的解釋性信息來支持選擇的適當(dāng)性，如果曾經(jīng)被審計的話。

(2) 利用工具

Grant Thornton公司負責(zé)人Lindsay Hohler表示，建議使用工具來實施和自動化數(shù)據(jù)治理。并確保每個人都了解他們的角色和職責(zé)。她補充說，“這不僅僅是一個由IT領(lǐng)導(dǎo)的計劃;它必須讓企業(yè)的利益相關(guān)者參與進來。”

(3) 經(jīng)濟高效地存儲數(shù)據(jù)

Smith指出，確保數(shù)據(jù)存儲在最具成本效益和性能的可用層上是最佳實踐。并確保滿足基本策略和訪問要求。例如，在分層或刪除數(shù)據(jù)之前，確定誰可以訪問哪些文件/存儲桶以及應(yīng)保留特定時間段的特定數(shù)據(jù)。他補充說，“我們經(jīng)常看到所有這些都在存儲專業(yè)人員的控制之下。”

(4) 使用有效的產(chǎn)品和服務(wù)

Smith說，存儲和IT專業(yè)人員在出現(xiàn)問題時可以避免成為“替罪羊”的一種方法，是在合規(guī)性和安全性方面對供應(yīng)商產(chǎn)品和服務(wù)進行更全面的審查和發(fā)現(xiàn)。他補充說，當(dāng)涉及到數(shù)據(jù)隱私和合規(guī)性時，需要提出正確的問題以了解客戶與供應(yīng)商的關(guān)系，以及共同責(zé)任與個人責(zé)任。

(5) 利用自動化

這些服務(wù)的核心是傳統(tǒng)的存儲系統(tǒng)，但越來越多的IT購買者期望的不僅僅是文件系統(tǒng)或?qū)ο蟠鎯?。他們希望?nèi)置的高級數(shù)據(jù)管理工具能夠超越基本的配置。因此，據(jù)Smith稱，他們正在尋找管理工具來幫助自動化訪問控制、預(yù)測物理設(shè)備故障或識別性能瓶頸，以及跟蹤和審核數(shù)據(jù)日志，并識別惡意軟件或勒索軟件。

(6) 匿名數(shù)據(jù)

Hohler指出，在某些情況下，受監(jiān)管的數(shù)據(jù)可以匿名化，因此它不再違反GDPR和CCPA等法規(guī)，從而可以繼續(xù)保留，但風(fēng)險較小。

Hohler表示，實施良好的數(shù)據(jù)保護和合規(guī)實踐的必然結(jié)果是確保企業(yè)也擁有健全和積極的數(shù)據(jù)處理實踐。她說，“多年來，企業(yè)一直致力于確保保留數(shù)據(jù)以滿足各種法規(guī)要求，但現(xiàn)在，我們看到更多的轉(zhuǎn)變是在數(shù)據(jù)具有商業(yè)意義時立即處理數(shù)據(jù)，并假設(shè)企業(yè)已經(jīng)滿足合規(guī)性。”

Hohler補充說，最重要的是要意識到安全和合規(guī)計劃的實施可能需要一些時間。