数据隐私治理最佳实践(上)

2022-6-22 11:55:0 Author: www.4hou.com 阅读量:4 收藏

这是一本用于评估、运营和加速智能数据隐私解决方案的分步工作手册。

数据隐私为何重要

数据是您的数字化转型的关键业务命脉,为您带来新的收入流水、创新和业务优化。然而,随着个人和敏感数据暴露的增加,滥用和盗窃的风险也增加了。您必须保护跨业务单位、应用程序和数据仓库、本地和云环境中的各种数据,同时保持数据对业务开放。

如果数据是新的石油,那么数据智能就是燃料,它可以帮助我们在风险暴露和创造价值的机会方面做出更明智的决策。当前流行的智能数据隐私解决方案使您能够跨组织自动发现数据,根据优先级理解和纠正风险,并透明地快速报告数据访问和使用。数据隐私治理提供了保护数据并安全释放其价值所需的工具和见解,以加速实现数据驱动的目标。

数据隐私治理包括数据管理策略和程序,用于操作您的隐私程序的控制。通过大规模利用元数据驱动的智能化和自动化,您可以帮助加速遵守隐私规定,同时使数据安全并且可用,以信任的方式开展您的数字化转型工作。

在您的组织中提供的敏感数据越多,不适当使用的风险就越大,或者更糟糕的是,出现安全漏洞的风险就越大。消费者要求得到信任保证,确保他们的数据被负责任地使用,并有控制措施来管理风险。提高信任的好处是,通过改善用户体验和更好的洞察力,可以提高客户信心和忠诚度。

本工作手册提供了一份指南,帮助您采取数据隐私治理和加速数字化转型,以便将数据风险抛在后视镜后面。

我们通过与全球各行各业的客户密切合作,帮助保护他们的数据资产,通过人工智能驱动的数据隐私治理,在降低风险的情况下释放业务价值。我们根据与大量客户合作的经验,制定了以下最佳实践。遵循下面经过实战的最佳实践,实施智能数据隐私,以帮助推动最大程度的用户采用。

一、制定隐私计划策略

通过将数据隐私与组织的整体愿景和业务目标联系起来,从一开始就为达到成功设置计划。你可以通过制定一个计划策略来做到这一点:

为您的企业愿景提供可信的数据访问和使用策略

专注于加速与业务驱动和用例相关的隐私目标

解决实施安全数据访问以及使用策略和程序的痛点

沟通隐私项目价值、合规结果和长期方向

确定潜在的业务驱动因素和影响

首先列出您的组织看到的潜在商业机会,其中数据是可信任的可使用资产。潜在收益(可衡量的目标)是什么?你会如何对它们进行排名?

使用此工作表作为开始:

提高客户体验和忠诚度

提供新的数据驱动产品和服务

减少风险暴露和不合规行为

其他隐私(数据保护、报告等)目标

确定相关用例和用户难点

开始识别与上面列出的业务驱动因素相关的组织用例。例如,您的用例可能是“改进PII或EPFI数据分类和所有权可见性,以弥补数据隐私法规合规性缺口”

列出相关的用户挑战和痛点。下面的工作表和示例将帮助您入门。

用例:

痛点样例

查找受隐私保护要求约束的个人数据的时间/费用太多

不确定哪些数据类型需要受到保护

对数据定义/需求分类缺乏共识

数据孤岛会带来潜在的数据滥用或安全漏洞风险敞口

随着数据治理计划的实施,数据呈指数级增长;难以管理

如果不了解数据暴露的成本和损失影响,风险影响就不清楚

数据扩散将数据暴露给第三方、未经授权的用户、数据泄露敞口

无法协调最高风险优先级与补救措施(保护、最小化、警报等)

缺乏、缺失或不完整的日常审计或隐私查询响应数据隐私控制可见性

无法评估数据暴露对下游系统、第三方等的影响

无法评估数据保护优先级

无法跟踪数据谱系以快速报告数据主体访问请求(DSAR)

具体数据类别的所有权不明确,影响对DSAR和类似查询的响应

没有自动化来管理风险,依赖手动流程和控制程序

企业利益相关者在数据使用政策上缺乏透明度,需要权衡风险敞口

对于数据科学家、数据分析师等来说,没有单一的数据源

程序策略声明示例

使用以下来自医疗行业的示例作为指南,创建您自己的数据隐私计划战略声明。

企业愿景

立志为客户提供最好的医疗保健,同时保持对服务的信任和信心

商业驱动力

加强监管

复杂的供应链,共享3个 PHI/付款人

支持在线患者自助服务门户

需要360度了解客户,以改进提供的服务

在不损害信任的情况下增加收入

在适当的情况下,跨机构共享记录

用例

关键数据元素的谱系

客户数据信任

将数据迁移到云应用程序

数据仓库自助服务分析

为明年的规划排定首要数据风险的优先级

支持隐私合规性年度审计

自动化DSAR

挑战和痛点

数据访问/谱系报告需要数月的手动工作才能实现法规合规性

未知风险会影响应用程序适当数据暴露的信心

数据所有者不清楚

没有关联性、一致性,没有定义个人数据范围

数据分析师花太多时间寻找用于分析的可信数据集

数据目录规划策略

实现数据民主化,通过安全使用来支持跨协作、自助服务分析、IT现代化和治理最佳实践,从而实现更安全、可信的价值创造。

阐明你的规划策略

为您的数据隐私解决方案编写一份计划策略声明。您的声明应说明通过部署数据隐私解决方案,您希望实现的目标、预期业务成果和利益,以便您能够向所有项目利益相关者提供重点和清晰的方向。

二、确定试点项目

在你定义了你的项目策略之后,选择一个具有最高成功潜力的用例作为试点概念验证项目。

一定要简单、聪明的从小处着手。试点项目可以帮助你管理成功并将风险降至最低。以可控的方式部署数据隐私控制可以让项目团队成员检查影响并发现意外结果。对已知和未知风险的检查有助于项目团队进行改进,以提高成功率。实施该项目将使您的组织建立信心,并促进后续项目扩展的增量学习。它还将帮助你识别和培养早期采用者和支持者。

记住:鼓励广泛使用你的智能数据隐私解决方案的最佳方法是从一开始就考虑企业用户采用的数据隐私解决方案,而不仅仅是一个技术或IT驱动的项目。

要选择正确的试点项目,请遵循以下步骤:

优先考虑用例和痛点

评估与您在步骤一中确定的业务驱动因素相关的用例和痛点。在此过程中,请记住智能数据隐私解决方案的价值主张:

调整并支持您的公司愿景,以实现可靠的数据访问和使用策略

专注于加速实现与业务驱动因素和用例相关的隐私目标

解决了实施安全数据访问和使用策略和程序的难点

传达隐私计划价值、合规性结果和长期方向

你的试点项目应该简单并且有最好的成功机会。请根据以下标准,确定试点项目的复杂性:

商业赞助、资金和冠军的存在,以帮助推动项目优先级

与业务驱动因素和痛点保持一致

用户的准备情况,包括接受隐私解决方案并自信使用的培训

所需用户数量及其技能

显示有意义的数据使用、谱系和暴露所需的数据源数量

为目标应用程序和平台数据资源提供扫描仪

复杂性和对数据资源的访问

每种资源的元数据量

目前手动程序的时间和成本,以及自动化作为成功因素的影响

隐私法规的复杂性和需要补救的最关键方面

需要努力对个人和敏感信息进行分类

估计要发现的数据域的数量以便适用于用例

定义的数据类(类型)数量

目标资源内是否存在敏感数据(PII、ePHI、IP等)

证明数据主体请求的个人数据身份数量

风险评估和优先级目标,以及选择补救方案的假设

堆栈排序潜在项目

基于复杂性、理想的业务影响和可演示性评估您的选项。选择一个相对简单的项目,支持您的公司对您的隐私目标的愿景。

考虑如何最好地向跨组织的业务用户(他们可以从安全数据使用中获益)和技术团队(他们将需要长期支持解决方案以实现相互校准)传达优势。

定义你希望实现的业务影响和可衡量的结果

回顾你优先考虑的痛点,并确定匹配的成功标准。例如,你的一些成功标准可能包括:

节省了数据发现和分类的时间,包括智能洞察的报告

提高身份映射和自助数据主体访问请求(DSAR)的自动化程度

能够评估和分析隐私风险,并以更高的透明度协调补救措施

能够监控数据访问、使用和谱系(跨境、第三方、合规使用等)

清楚了解谁拥有特定的数据类型(主题注册)并强制执行权利

支持数据保护自动化,如脱敏、报告/警报、工单、API驱动

三、发现数据并映射身份

一旦你决定开始你的试点项目后,就可以开始实现发现和分类数据,以获得支持法规遵从性目标的智能洞察。

数据发现和分类使数据管理员、分析师和其他领域专家能够在隐私合规政策的范围内识别数据类别,以实施数据保护计划,并提高适当使用的透明度。这种数据情报构成了理解处于风险中的数据资产的基础,同时也揭示了在数据得到保护并安全可靠地进行负责任处理后产生价值的隐藏机会。寻找一个自动化这些流程的解决方案,以加快试点的合规目标。

确定高价值的数据源和元数据

确定几个关键的高价值个人信息或敏感数据源,以支持您的试点项目。这些数据源可以是数据库、文件系统、数据仓库、数据湖或其他用于数据扫描的存储库。

如何确定数据源的优先级?

实现这一点的一种方法是考虑您创建的高价值报告,并追溯到它们的数据源。对于数据隐私,一个首要方案可能是跨数据源在数据主体和个人数据之间建立关系,以帮助自动化数据主体访问请求报告。

优先考虑已知包含个人和敏感信息的数据存储位置,如CRM系统或忠诚度/保留计划。

将数据与用户身份匹配,以确保数据访问的透明度,并执行风险暴露评估活动

现在您已经确定了最重要的数据源,接下来的步骤包括扫描数据存储,然后导入有关用户和访问的元数据。扫描结果会增加用户活动数据和导入的元数据,以了解有权访问数据存储位置中的敏感数据的用户。查看对敏感数据执行事件的用户帐户的详细信息,可以提供评估风险影响重要性所需的见解。

用户是访问数据存储中数据的帐户。用户可以是应用程序用户、数据库用户或操作系统用户。您可以管理外部系统(如LDAP目录服务)中的用户。也可以导入与用户帐户相关的元数据,例如全名、部门和位置。例如,可以从LDAP目录服务Salesforce和CSV文件导入用户。

本文翻译自:https://www.informatica.com/products/data-security/data-privacy-management.html如若转载,请注明原文地址


From: https://www.4hou.com/posts/zY07