一、个人信息监管机构应考虑发布官方数据合规指南
参考欧盟的GDPR可以看出,自2017年法案发布以来,经过大约两年的实践,司法解释和公民权利逐渐成熟,形成了相对稳定、共识的实践指南,欧盟也在此基础上发布了一系列具体的实施指南,规范企业合规工作,明确处理方法,技术措施有效、合规。
因此,目前阶段,监管机构、司法部门、企业及相关合规支持者(包括评估机构、安全制造商、审计机构等)需要共同努力,探索最佳合规实践,促进企业合规实践指导的实施。监管部门和司法部门应自上而下给出个人信息保护合规的具体目标和要求,企业及相关合规支持者通过最佳实践自下而上给予监管部门,司法部门实现安全效果,最终综合考虑目标,形成合规实施指导,促进企业实施个人信息保护合规措施。
二、审计机构推进合规审计的具体实施步骤和方法
基于当前IT审计工作的完善和个人信息保护合规审计的部分需要进一步细化。笔者建议从两个方向逐步探索:
一是,基于IT审计原则、方法和步骤,分析个人信息保护合规审计工作的适用性,如审计原则、基本方法、一般审计过程和传统审计过程IT审计完全一致,但从业务层面进行合规审计需要哪些支持材料,如何有效证明业务的合规性需要进一步细化和研究。
二是企业内部审计工作的组织结构、制度流程和工具需要结合企业管理进一步细化研究,在不影响业务正常运行的情况下方便高效地开展审计工作。
建议审计机构与企业共同探讨个人信息保护合规审计的具体实施过程和方法,促进流程方法的标准化,真正发现企业合规风险,督促企业完善合规。
三、企业和安全厂商推动使用合规审计工具支持常态化、明确合规审计
在个人信息合规审计工作中,人工审计不仅会因审计人员的差异而导致合规结果的差异,合规风险的发现也不彻底。由于业务难以理解,审计过程复杂、耗时、难以支持合规审计工作的规范化和清晰化,因此可以通过工具进行更多的相关分析,记录更客观可信的合规证据,从而更好地支持快速透彻的审计。
合规审计工具的重点是收集什么样的证据,如何收集证据,如何相关分析证据支持审计,如何保存证据,企业和安全制造商可以共同促进审计工具的标准化,讨论企业需要通过哪些日志证明其管理体系、措施和处理过程是合规的,讨论如何分析这些日志符合审计要求,如何保存这些日志可以作为审计证据。这样,促进工具化的个人信息保护合规审计,可以更方便、客观、定量地判断企业是否符合合规要求,更好地实现企业合规审计工作的目标。
促进工具化的个人信息保护合规审计,可以更方便、客观、定量地判断企业是否符合合规要求,更好地实现企业合规审计工作的目标。
版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档,如有版权意见,请及时告知安策公司,我们将及时查证纠正错误,谢谢支持。有问题请及时电邮 market@ SafePloy.com