2018年8月24日
- Gartner的客户吗?登录个性化搜索结果。
ciso必须掌握符合GDPR的数据治理
贡献者:Laurence Goasduff
欧盟新法规为起草新的数据安全战略敲响了警钟。
欧盟的一般数据保护条例(GDPR)这迫使各种规模组织的首席信息安全官(ciso)重新思考他们如何管理数据隐私。然而,许多公司仍然没有数据安全治理策略。
“虽然GDPR指南自2018年5月25日起生效,但很明显,许多组织缺乏有效保护敏感数据、维护隐私和保护所需的策略或工具,”他说黛博拉基士他是Gartner的首席研究分析师。
“GDPR是对ciso起草新的数据安全策略的一个警钟”
他们在制定战略方面的拖延是由于无数的挑战。其中包括合规要求,如美国的NIST网络安全框架、澳大利亚的新违规通知法、日本的个人信息保护法(APPI)、国家访问法和国际工作人员访问要求。因此,各组织在GDPR合规方面处于不同的水平。
基什解释说:“他们都没有完全做好GDPR的准备。她补充说:“ciso应该记住,GDPR不是解决所有安全治理问题的‘银弹’。他们需要改进组织的指导方针,以确保数据安全治理。”
制定数据安全治理策略
在起草安全策略之前,ciso需要考虑几个关键问题,例如如何优先考虑主体的权利。由于这些问题不能仅由安全团队回答,ciso需要与其他数据安全治理涉众协作,例如,了解组织系统上存储或处理的数据。
Kish建议ciso采取以下五个步骤来制定数据安全治理战略,并使其组织符合gdpr。
- 进行风险评估识别不同的数据驻留、合规性和安全威胁,并使用财务评估对这些威胁进行优先级排序。
- 识别哪些数据集和风险需要解决的问题,因为并非所有数据集都需要相同级别的安全。有些人可能根本不需要。
- 定义一组适当的安全策略以及针对每个业务风险的相关过程和安全体系结构。确保每项政策都能平衡人员或实体在所有可用的数字业务环境中访问相关数据集的需求。
- 使用这些函数来设置需求用于需要在组织的IT基础设施中部署的产品。
- 创建访问和使用策略每个数据集都是一致的,因为数据在所有可用的数字业务环境、应用程序和端点之间流动。
Kish说:“ciso需要意识到,GDPR可以成为基本的隐私和数据安全标准,并可以作为保护其他数据集的标准方法。”
体验信息技术会议
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
Gartner的客户可以在“CISO手册:适应不断变化的监管环境”。
*请注意,有些文档可能不是所有Gartner客户都能获得。
获取独家内容
Gartner使用条款和隐私政策。< / > ">
登录您的帐户 访问您的研究和工具" class="eloqua-text">
登录您的帐户 以访问您的研究和工具" class="optin-text">