安全员培训网(安全员在线培训)

欧盟《通用数据保护条例》（General Data Protection Regulation，简称 GDPR）于 5 月 25 日正式实施：这意味着个人数据保护正面临重大变革！各行各业都将面临巨大的挑战。长久以来我们对于个人数据的收集、处理、控制、分析、使用等过程中，都是随取随用；通常只会从业务运营层面进行考虑，而不会从用户角度出发进行考虑。

因此对于 GDPR 的个人数据主客体的收集、处理、控制、分析及使用，成为未来在数字化转型的一大挑战。目前互联网相关企业大多对于 GDPR 所涉及内容进行阐述及解释，本文不再对于 GDPR 法规内容进行解读；我们就针对 GDPR 实施时需完成的事项提出建议，以供参考和探讨。

　　GDPR 落地实施后，首先我们应关注以下事项：

个人数据保护政策及流程

个人数据国内、外或法律法规要求的地域适用范围

个人数据的内容识别及方法与个人数据所拥有的权利

个人数据的删除、遗忘权或跨境及境外传输

个人数据泄漏的通知、补救、责任、处罚、合规及治理等

　　依据以上内容，具体细化为 GDPR 合规性实施事项的建议：

个人数据管理组织（首席数据官 CDO - Chief Data Officer 设立）：

专门负责组织、职责规划并成立个人数据管理组织。首席数据官或高层领导必须依据 GDPR 及相关国内外机构的要求，拟定并公布组织内的个人数据维护政策。例如：政策的内容包括；数据保护定义、目标、涵盖范围、实施内容、执行组织、职责分工、员工责任、事件响应程序、处理流程等。

首席数据官建立数据保护组织：首席数据官带领跨部门的数据保护组织成员，负责协调、推动及监督组织数据安全相关事宜，并监督数据安全运维。承担数据安全运维责任、遵循/落实数据安全保护、定期审查。

个人数据安全保护组织需建立风险管理机制并定期审查；拟定并推动数据安全相关的保护项目实施；识别并采取相关的数据安全管控措施；监督处理流程的优化调整建议；个人数据安全业务事件通报以及法规法令的建议和指引。

个人数据内容及范围的识别、界定：

识别及界定组织内所有个人数据内容；应立即开展全面清查、清点。

个人数据的使用目的、数据类型、处理流程、特殊个人数据及电子存储、纸质存储、地域与匿名化方法与利益相关人处理等需逐一清查。

个人数据风险评估：

全面清查及盘点所拥有的个人数据。

导入适当的个人数据风险评估方法。

个人数据相关的运维流程建立

拟定个人数据安全保护政策与流程。

个人数据收集者、处理者、控制者、接收者或第三方等角色在组织内部的定义与职责划分。

个人数据收集、处理、控制、分析及使用的合法性、公平性、透明性；以与数据主体有关的合法、公正、透明的处理行为方式。

取得个人数据主体同意、修正、遗忘权等权利的行使方式。

跨境与境外传输个人数据的方式方法与相关流程、限制等要求事项。

个人数据应急事件

个人数据应急事件的预防和通报，个人数据在发生被窃取、泄漏、篡改或其它侵害，导致数据主体产生损失及损毁的情况。

组织内部和外部的通报方式：电子邮件、短信、电话、公函、或其它可使个人数据主客体获知的方式。

个人数据应急事件补救处置，防止持续扩大或二次损害以及通报保留记录。

个人数据应急事件发生、规模、范围、事实、原因、对策等处理方式。

个人数据应急事件发生时，寻求法律专业咨询与协助。

其它

个人数据相关的技术安全管理及人员管理意识宣导及培训。

个人数据所处的物理环境安全、存储设备安全及相关应用与设备安全管理。

个人数据安全审计查核工具、相关记录审计与监管流程及工具。

重要使用纪录、轨迹数据及证据保存等。

以上仅就 GDPR 合规要求实施应完成事项提供大方向的建议参考，更多维度仍应关注合规的要求，此外相关的技术保护手段建议如下:

数据中心将成为存储个人数据的首选位置，因此，其将成为攻击及窃取的主要目标。在数据中心应设计、部署实施物理和虚拟化的相关技术管控设备或解决方案如：防火墙、入侵检测、端点防御及流量安全管理等，以解决目前所面临的数据安全威胁。

GDPR 合规关键要素之一是控制对个人数据存储和处理的资源的访问。因此网络及应用安全分段及访问控制功能可帮助实现 GDPR 的要求。

此外对于 GDPR 合规要求实施所面临的一个主要挑战是如何检测这些对于个人数据窃取的高级威胁，然后分析和阻止它们。在日常安全监控运维中应将静态和动态恶意软件分析与威胁情报的整合也属于需要重点考虑点。

总之，GDPR 所涉及范围维度既广又深，组织势必需要在个人数据保护相关的管理、技术及法律层面落实执行相关项目，并针对必要的合规性要求在日常工作中执行状况，通过层层的管控查检，确保符合个人数据相关法律法规要求，降低组织因 GDPR 或国内外个人数据要求所面临的风险。

思科技术达人“秀”

有效保护数据，才能从容应对风险，2018 年 6 月 14 日，思科邀您参加思科技术达人“秀” 系列在线讲座——思科数据中心安全解决方案介绍。

——参加本期会议，深入了解思科数据中心安全解决方案，并掌握如何利用思科数据中心安全方案为物理数据中心，私有云，混合云及公有云进行有效的保护，为未来企业数据中心的安全建设提供参考。

　　点击『阅读原文』，借助思科安全产品和解决方案有效保护数据安全！

-广告-