• Bookmark

COBIT 5 与 GDPR

作者:Joanna Karczewska,CISA

COBIT Focus | 2017 年 5 月 29 日 English | Japanese | Spanish

距离欧盟《一般数据保护条例》(GDPR)1 生效仅剩下一年时间了,如果组织中拥有欧洲客户,那么就应当开始实施条例中相关的要求了。在欧盟国家,大多数监管机构都发布了有关如何做好准备的指导方针。不过,如果涉及到的信息技术方面的内容,您可以很方便地通过了解知名的企业 IT (GEIT) 治理框架来获得额外灵感。没错,这个框架就是 COBIT


为了帮助组织做好迎接 GDPR 的准备,建议先参看一下介绍性文档,例如爱尔兰数据保护专员办公室 (DPC) 撰写的 The GDPR and You2 (GDPR 与您)。为了提供清晰的指南和实用性的起点,DPC 编纂了一个核对清单,帮助您在 2018 年全面合规地满足新条例。您可以将 COBIT 5 动力应用于 DPC 路线图,从而确定 COBIT 可以提供帮助的基本范围。


COBIT 5 动力:流程

正如 DCP 建议的那样,第一步是知晓即将开展立法变更的趋势。DCP 称:“组织内的关键人员必须知道法律即将变更为 GDPR,并开始在未来的规划中考虑该因素。他们应该着手确定在 GDPR 的影响下哪些方面会导致合规性问题。"3


相关 COBIT 5 流程可能是“APO01 管理 IT 管理框架”及其管理实践:

  • APO01.01 定义组织结构(图 1):
    • 用于确立利益相关者的参与,当涉及 GDPR 实施相关的决策制定时,他们具有至关重要的作用。

图 1—COBIT 5 流程 APO01.01

资料来源:ISACA, COBIT 5, 美国,2012 年

  • APO01.02 确立角色和责任及其活动(图 2):
    • 用于确立、商定和沟通企业内部参与 GDPR 实施人员的 IT 相关角色,并清晰描述他们的责任和职责,尤其是决策制定和审批方面。这将会使涉及到的所有人员都了解新立法及合规性的需求。

图 2—COBIT 5 流程 APO01.02

资料来源:ISACA, COBIT 5,美国,2012 年


DCP 建议的第二步是“盘点手中的所有个人数据。”4


APO01.06 定义信息(数据)和系统所有权管理实践可用于(图 3)创建和维护所有个人数据的清单。这些数据包括主题和处理时间,处理性质和目的,所处理的个人信息的类型和特殊类别,数据来源,共享数据的人员,保留期限,以及保障有效的个人数据安全所用的工具和技术。


图 3—COBIT 5 流程 APO01.06

资料来源:ISACA, COBIT 5, 美国,2012 年


另外一个关键问题是在 GDPR 的影响下新权利的实施及个人当前权利的加强。组织有义务就个人数据处理提供相关信息,这些信息必须:

  • 简洁、透明、易懂且易于访问
  • 采用清晰平实的语言,尤其是面向儿童展示时
  • 免费

因此,正如 DCP 建议的那样,组织应在新时间表内审查并更新用于处理数据主体相关请求的程序。但 COBIT 5 中直接应对与利益相关者(这种情况下为数据主体)沟通的流程为“EDM05 确保利益相关者透明度”及其关键治理实践:

  • EDM05.01 评价利益相关者报告要求,包括数据隐私通告
  • EDM05.02 指导利益相关者沟通和报告
  • EDM05.03 监控利益相关者沟通

此流程的执行人、责任人、咨询人以及被通知人 (RACI) 图表(图 4)可能需要扩展,以纳入:

  • 处理个人请求的人员
  • 发表官方声明并在个人数据泄露事宜公之于众时进行媒体沟通的公关人员

图 4—COBIT 5 流程 EDM05 RACI 表

资料来源:ISACA, COBIT 5, 美国,2012 年


GDPR 亦要求管理者在发生个人数据泄露时通知监管机构,不得不当延迟,在可行情况下,在知晓后 72 小时内进行通知。管理者面临的基本挑战是对请求和事故进行记录、分类并确定优先级,以便尽快确定个人数据泄露事宜,并确定该泄露有无可能对自然人的权利和自由带来风险。相关的 COBIT 5 流程是“DSS02 管理服务请求和事故”。此外,必须落实下方的新程序:

  • 将个人数据泄露事宜通知给监管机构
  • 就个人数据泄露事宜与数据主体沟通

未来几个月,第 29 条工作组5 打算撰写指导性文档,用于规范如何发出个人数据泄露通知。该指南将有助于根据新立法管理 DSS02 流程。


最后一点也非常重要,这就是 GDPR 还要求管理者在处理操作可能会给自然人的权利和自由带来高风险的领域,开展并实施数据保护影响评估 (DPIA),并确保从机制设计上默认进行数据保护。这意味着下列 2 个 COBIT 5 流程高度成熟:

  • BAI02 管理需求定义
  • BAI03 管理解决方案识别和构建

工作重点应集中在“BAI02.03 管理需求风险”这一管理实践之上,该实践要求针对与企业要求和解决方案提案(本情况下为保护与个人数据处理相关的自然人以及与个人数据自由流动相关的规定)相关的功能性、技术性和信息处理相关风险进行识别、记录、确定优先级并进行缓解。


第 29 条工作组最近发布了《DPIA 指导方针》(Guidelines on DPIA),确定根据《第 2016/679 号条例》要求,数据处理是否有可能“带来高风险”。6 该文档包含现有欧盟 DPIA 框架的清单。其中最有用的是法国国家信息自由委员会发布的一套隐私影响评估 (PIA) 文档。7 它还提供英文版。8, 9, 10


COBIT 5 动力:信息

GDPR 制定个人数据处理的相关原则。其中一套原则规定个人数据应准确并在必要时保持为最新状态;必须采取合理步骤和程序以确保个人数据在用途不正确时,立即予以消除或更正。其他规定要求个人数据的处理通过相应的技术或组织措施确保相应的个人数据安全性,包括防止未经授权或非法的处理,以及意外丢失、破坏或损毁。


依据 COBIT 5:启用信息 定义的信息质量目标,个人数据必须:

  • 精确—数据正确可靠。
  • 客观—数据无偏见、无成见并且公正,尤其是自动进行个人决策制定(包括资料分析)时。
  • 完整—信息对当前任务而言没有缺失并有足够的深度和广度。
  • 最新—数据的最新程度足以满足当前任务。
  • 安全/易访问/可用—需要时数据可用或可轻松快速检索。
  • 安全/易访问/限制访问—数据受到相应限制,仅提供给经授权方。

COBIT 5 动力:文化、道德和行为

正如之前提到的那样,所有人员的认识是 GDPR 产生效力的关键因素。因此 COBIT 5 动力“文化、道德和行为”(指企业内的一套个人和集体行为)变得至关重要。


正如 COBIT 5 框架中列出的那样,要在企业内打造、鼓励和维护个人数据保护方面的最优行为,其良好实践应包括:

  • 在企业内全面传达这些被鼓励的行为
  • 树立理想行为意识,高级管理人员和其他倡导者(包括数据保护人员)需要做出表率,并借此强化其它人员的认识
  • 制定用于鼓励理想行为的激励措施和用于强制执行理想行为的威慑措施
  • 制定规则和标准,就理想的组织行为提供更多指导意见

COBIT 5 动力:原则、政策和框架

GDPR 要求管理者实施相应的数据保护政策。


正如 COBIT 5 框架建议的那样,制定个人数据处理方面的新程序或审查当前程序时,良好的实践应该:

  • 有效—它们应该能够实现既定目的。
  • 高效—它们应确保以最有效的方式实施 GDPR 原则。
  • 无妨碍—对于必须遵循它们的人而言应该合理,即不会形成不必要的阻碍。

此外还应形成一种机制,让所有利益相关者易于访问和理解这些政策,同时利益相关者应当知晓去哪里去寻找这些政策。


安全

仅 GDPR 第 32 条明确提到,管理者和处理者实施相应技术和组织措施时,必须考虑当前现状、实施成本、处理的性质、 范围、背景和目的,以及自然人权利和自由面临的各种可能性和严重性风险,确保处理安全性。这些措施应包括

  • 个人数据的匿名化和加密
  • 能够确保处理系统和服务的持续机密性、完整性、可用性和弹性
  • 当出现物理或技术事故后,能够及时恢复个人数据可用性和访问
  • 制定相关流程,定期测试、评估和评价技术和组织措施的有效性,从而确保处理的安全性

但是,GDPR 的其他条款中强调了更多安全性要求。组织拥有信息安全管理系统,这证明是一种优势。这意味着具有管理完善的“APO13 管理安全”流程。


结论

此处提及的 COBIT 5 动力与 GDPR 的对应关系并不详尽,读者应运用自己的专业判断,确保准备工作考虑需要的所有措施,使组织符合新法要求。本文旨在说明 COBIT 5 在支持这些措施和启发 COBIT 5 用户方面相当有用。


Joanna Karczewska, CISA

独立 IS 审计师,COBIT 顾问兼培训师,波兰华沙技术大学 (Warsaw Technical University) 和波兰海军学院 (Polish Naval Academy) 讲师,多篇 COBIT 和 IT 审计相关文章的作者,IT 会议的演讲者。她拥有 40 年来为波兰政府机构和驻波兰外国公司的 IT 工作专业经验。Karczewska 多次担当 COBIT 5 出版作品的专家评审人员。她还是 ISACA 知识库 波兰 主题的社区领袖。


尾注

1 欧洲议会和理事会于 2016 年 4 月 27 日颁布了关于在个人数据处理方面保护自然人以及此类数据自由流动的《第 2016/679 号(欧盟)条例》,同时废除了《第 95/46/EC 号指令》(《一般数据保护条例》),新的条例将于 2018 年 5 月 25 日生效。
2 爱尔兰数据保护专员办公室, 《GDPR 与您》,爱尔兰,2017 年
3 同上。
4 同上。
5 欧洲委员会, 第 29 条工作组, 2016 年 11 月 22 日
6 同上。
7 法国国家信息自由委员会, Gérer les risques, 2017 年 3 月 2 日
8 法国国家信息自由委员会, 隐私影响评估 (PIA) 方法(如何进行 PIA),2015 年 6 月
9 法国国家信息自由委员会, 隐私影响评估 (PIA) 工具(模板和知识库), 2015 年 6 月
10 法国国家信息自由委员会, 隐私风险处理良好实践措施, 2012 年法国