专稿 | Veeam中国区总裁施勤:GDPR督促企业重新思考当前及未来的整个数据保护策略

《专稿 | Veeam中国区总裁施勤:GDPR督促企业重新思考当前及未来的整个数据保护策略》施勤(Jimmy Shi),Veeam 中国区总裁,负责 Veeam 在中国市场的销售、联盟合作伙伴以及渠道业务。施勤是IT行业内备受认可的商业领袖,在横跨多个技术供应商推动业务发展和人员管理方面拥有丰富经验。

在加入 Veeam 之前,施勤在 Citrix 任职,帮助公司建立了中国区业务,并在过去的 9 年中对业务发展发挥了重要作用。他同时担任华北、华东和华南地区的区域总监。在加入Citrix 之前,施勤是苹果公司华东地区总监,在中国建立了公司的 Pro&Enterprise 业务。他通过与包括戴尔和惠普在内的大型技术供应商合作而累积了丰富经验。

 

《通用数据保护条例》(GDPR)已经在5月正式实施,您的企业是否能够满足GDPR的要求呢?根据英国政府对数字、文化、媒体和体育等行业进行的最新的一项调查显示,如果答案是肯定的,那么您的企业就属于少数的精英企业了。

该项调查设置的问题主要围绕企业如何积极应对GDPR即将带来的变化,以及更普遍意义上的,他们如何应对网络安全。调查结果显示,大部分企业如果要符合GDPR的要求,还需要很长的时间作出变革,任重而道远。同时令人惊讶的是,仅有38%的受访组织表示对GDPR有所耳闻,而且,仅有略高于四分之一(27%)的组织真正在运营方面作出了改变,为适应新的条例出台做准备,以应对这一新条例的挑战。

对于作出积极变化的企业,在他们所采取的应对举措中,最常见的是推出新政策或更新现有政策(36%),其次是加强人员培训(21%)。而相应的创建或更改备份计划(7%)、安装或更新杀毒软件(6%)、甚至网络安全服务外包(5%)等举措却少之又少。

最大的问题是,我们在此所讨论的企业仅占很小的一部分。围绕着GDPR合规存在着一个更普遍的问题——大家仅将其视为一个“IT问题”。很多企业似乎要么自信心膨胀,认为自身已经拥有充分的数据处理能力;要么漠不关心,认为GDPR合规事不关己——这就完全不得要领了。在GDPR合规的准备和进行过程中,整个公司上下都应该参与进来。相当重要的一点是,GDPR不合规的企业往往会面临巨额罚款,而这会影响公司的每个员工。

GDPR实际上比它看起来更重要,从1995年起数据保护法律就没有进行任何更新,但实际上行业状况已经发生了翻天覆地的变化。在当今的2018年,企业采集和存储个人数据的方式毫无疑问已与过去迥然不同了。

这么看来,GDPR似乎来得已经相当晚了。各大企业应积极支持这一条例,将其视为一个契机来更新企业自身与数据保护的整个关系,使之更加适合企业未来的发展;同时还应将其作为一个方法论在企业内部实施,融入到组织的构架根基中——而非仅仅是马后炮,或者将其仅仅视为IT部门的责任。

要实现GDPR合规,有一个非常简单的途径框架。以下所示的五大步骤就是Veeam为准备GDPR合规所采取的流程。现在,我们将这个流程分享给大家,希望大家也能成功完成GDPR合规之旅。

了解您的数据

如果您的企业拥有或持有欧盟公民的数据——正式名称为个人身份信息(PII),那么GDPR就适用于您的企业。这意味着如果您在2018年5月25日后被发现不合规,就将面临罚款。因此,这一合规之旅的最佳起点就是去了解您是否持有这类数据,如果持有,则了解该类数据存储于何处。您可就您所持有的所有数据创建一个可视图表,这可帮助您构建一个全方位的视角,实现更好的监察。

很多企业之所以并未充分重视GDPR——或者仅是认为其与自己无关,其中另一个原因可能是对这类数据缺乏了解。这可能是因为他们认为自身并不持有任何这类数据(提示:如果您聘用了欧盟市民员工,则您就已经持有了这类数据),或者没有意识到所持有这类数据的广度和范围(提示:个人数据并非仅仅是姓名和地址)。这正是合规之旅上需首先了解您的数据的原因。

管理您的数据

一旦已全面了解了您所采集和持有的所有相关数据,那么就应该调查一下哪些人可获取这类数据,以及这类数据的使用状况。您的企业内可能有不同的团队和部门可以采用不同的方式访问这类相同的数据,并将其用于不同的目的。无论这是市场营销团队输入的有关潜在客户的数据,并将其与销售团队分享,还是HR团队处理有关其自身员工的数据,您都有必要执行有关个人数据处理的标准化程序和工作流,而且必须确保仅在员工业务职能所必需时,才为相应员工提供访问权限。

管理您的数据指的是充分了解您的组织内——甚至是组织外部——有关这些数据的一举一动。您的GDPR合规性也取决于您所合作的任何第三方供应商的合规性,因此,您有责任确保他们也遵守这些规则。千万不可在将数据转移出公司后,就对此类数据的管理情况睁一只眼闭一只眼。

保护您的数据

一旦对您的数据实现了良好的监督,并执行了标准化的管理流程,则应确保落实适当的安全控制举措,以保护这类数据——但这并不仅仅意味着加密。为实现合规,您不能仅仅是采取安全措施后,就以为高枕无忧了;GDPR要求您持续监控和审慎尽职,而且在发生数据泄露时,第一时间采取行动。

的确,科技在这一合规之旅中将发挥重要作用,但是仅仅是科技本身并不能帮您实现合规。如要在全公司范围内推行新的数据保护方法,需要综合运用安全技术、标准化工作流、内部教育、访问控制、备份解决方案等等。掌握拥有访问权限的人员清单、访问地点和时间,同时进行频繁的审计和监控,有助于您显著提升数据泄露的响应速度——因为即使每个人都尽最大努力,但数据泄露可能仍然不可避免。

文字记录和遵守

GDPR最热门的话题之一是推行数据请求,这意味着个人将有权要求更正或删除与其相关的数据。届时企业将需遵循这些请求,并践行这一承诺——因此您对您所持有的数据及其存储位置的明确了解才会如此至关重要。

持续遵守GDPR还需对您所采集的数据内容、其使用目的及其在您公司储存的时长进行记录和审计。当进行这一步骤时,我们应问问自身以下问题:我们几个月前所采集的数据时至今日是否还有意义?对于已转移至别处的数据,我们是否仍然可以查询到?我们的第三方供应商是否仍然保持合规?

持续改进

不断监控和审计您的数据保护流程可有助您对其实现不断审查和完善。诚然,GDPR是一件界限分明的事情,但是我们所生活的数字世界是一个不断发展和拓展的世界,我们应该假设数据隐私和保护责任将持续增加——因此企业应做到持续改进,以确保永远保持合规。

GDPR不应被视为在2018年5月前应勾选的一个复选框;相反,企业应将其视为一个契机,以重新思考其当前及未来的整个数据保护策略。这是企业适应未来的一个机遇——应该紧紧抓住,不要让其在指尖溜走。

在GDPR合规之旅中,我们大大增进了对自身业务和数据的了解。希望我们的经验现在对您也能有所帮助。

 

点赞

发表评论

邮箱地址不会被公开。 必填项已用*标注