广告

GDP.对网络安全管理人员的影响

在GDPR的许多不明确的含义中,模糊可能是如何确保符合安全要求,包括设计数据保护和默认情况。

自一般数据保护监管以来已经通过了大约六个月(GDP.)生效。在GDPR的许多不明确的含义中,模糊可能是如何确保符合安全要求,包括设计数据保护和默认情况。网络安全专业人员是一个艰巨的任务,了解如何解释GDPR要求,并且可能会在未来几年内持续奋斗。

但是,对这些GDPR条款的解释不应该是指挥我们注意的唯一方面。增加的罚款(最多2000万欧元或年度营业额的4%)使许多公司不仅考虑如何确保合规性,而且还会考虑如果未实施所需措施,也会发生何种行为。因此,许多公司的问题是谁将对关于GDPR安全规则的合规失败责任:负责确保个人数据安全的公司或雇员?

GDP.对雇员违反GDPR的规定的责任没有。此外,GDPR阐述了这些是控制器和处理器,该控制器和处理器应负责,并责任确保遵守其要求。因此,如果A公司是其客户个人数据和公司A的控制器,则不使用充足的安全解决方案,这导致对数据的未经授权访问,作为控制器的公司A应受到GDPR规定的罚款。没有GDPR罚款将直接适用于被指定为确保A公司担保个人数据安全性的网络安全经理。

广告

例外是一种网络安全管理员(或任何员工)离开公司A,复制客户的个人数据,然后发布它。在这种情况下,个人(前员工)成为一个单独的控制器,并对任何GDPR违规负责。

但是,如果公司A有内部绑定安全程序,则会发生什么应该遵循员工?例如,如果员工不遵循它们,那么将数据复制到USB闪存驱动器而不加密它,并在家提供任何其他额外的保障措施,驱动器被盗,并且披露数据?公司仍然是唯一一个支付披露的人吗?或者将员工(作为犯罪的人)或网络安全经理(作为安全负责的人)也有责任?

没有一个答案,许多方面依赖于每个国家的法律,法规和判例法,特别是关于雇员责任的国家。此外,责任范围可能是在全球各地设有办事处的公司的担忧,这需要对员工责任的不同法律。

考虑到上述背景,建议对个人数据安全负责的公司及其网络安全管理人员使其与双方尽可能透明的关系。这可以通过以下方式完成:

1.定义责任范围。 网络安全管理人员应该清楚地了解他们对GDPR实施的具体作用,所涵盖的系统和部门及其访问权限。
2.定义该领土。 有必要了解特定人员负责的GDPR符合性的领土范围。是经理身体所在的地方还是更广泛的地方?应特别应在国际集团公司的情况下应答这个问题,其中一个人可以负责若干组织。
3.定义适用的法律。 对于适用于其关系的双方来说,这应该是清楚的。它只是实施法律的GDPR还是这些隐私和安全相关的约束行为?持有公司和员工的规则是什么?
4.同意沟通。 如果责任范围与其他管理人员或员工重叠,则对您如何共同努力以及分发共同任务的达成一致。
5.证明它。 达成责任范围,任务分配和责任的所有协议应得到可证明。如果可以和合理地将它们放在纸上,则应完成。如果公司和网络安全经理将能够证明,所有利益相关者接受某个订单,则其他选择(例如通过电子邮件传播主要术语)也是相关的。

似乎避免同意特定事物并从事在不完全惩罚时发生的情况令人不快的谈话是更有利的。然而,解决责任范围和责任范围的明确框架可被视为网络安全管理人员的个人事件响应计划,这些计划将帮助他们在透明和明确的条件下进行工作。

(这篇文章最初出现在ISACA博客上,可以被观看 这里)。

分享

更多来自信息管理