产品展示
为什么将CISO和DPO角色结合在一起是个坏主意
为什么将CISO和DPO角色结合在一起是个坏主意
CISO与DPO:角色合并的谨慎思考
重点摘要
在通货膨胀和潜在经济衰退的背景下,许多公司正在评估运营成本,包括裁员和精简流程。然而,在保护数据安全和隐私方面,企业是否重视并合理投入资源?尽管CISO首席信息安全官与DPO数据保护官角色相似,但合并这两个职务可能会导致不良后果。企业须谨慎处理这一问题,以确保数据的安全与合法使用。
在当前网络威胁与法规日益增加的情况下,注重数据安全和隐私至关重要。妥善管理安全与隐私资金的支出,能够使公司在衰退中获得生机。
裁减安全或隐私?务必谨慎行事
对于处理敏感信息或个人可识别信息的公司如金融服务、零售、医疗保健和企业等裁撤CISO或DPO可能会带来负面后果,尤其是当PII个人可识别信息面临更大的脆弱性和风险时。
蚂蚁机场v2ray安装教程
许多人认为CISO与DPO的职责相似,因此在某些地区,公司可能会将这两个角色合并为一个职位。但实际上,这并非仅是语义问题。虽然两者都涉及数据和运营的保护,但其方法、要求,以及适用的法规和治理却大相径庭。
让我们来看看这两个角色的具体职责:
CISO:即安全官,其责任在于保护组织的数据和运营不受损害。这包括防止数据或资产被盗,以及避免商业运营因数据泄露而受阻。这意味着,CISO需防止数据落入不法分子之手,确保关键业务系统和流程在面临威胁时依然能够正常运作。
DPO:其主要职责是确保个人信息得到有效保护,并确保这些信息的使用符合合法目的。虽然DPO与CISO均关注数据的安全性,但DPO需要确保数据不被误用。在大多数地区的数据隐私和保护立法下,如欧盟的通用数据保护条例 (GDPR),企业在收集客户信息后,不能在未获客户同意的情况下将信息用于其他目的,如市场推广。
CISO与DPO:各司其职,有着显著分歧
DPO还负责定期向外部请求者发布个人信息,并应外部请求删除企业所持有的信息。例如,当收到访问请求在许多地区称为DSAR或删除请求时,DPO团队需评估请求的合法性及正当性,并确保请求者的身份真实可靠。
在处理DSAR时,DPO会对除请求者外的个人信息进行编辑,并在向请求者发送资料前,去掉任何机密公司信息。这项工作繁重,且在没有软件解决方案的情况下,每年可能需要耗费数千小时的人力。对于删除请求,也要进行相同的初步检查。假设所有请求都通过验证,DPO将在文件中编辑与请求者相关的信息,并从数据库中删除这些数据,尽管可能会遭到CISO的反对或其他部门的影响。
简言之,安全与隐私并行发展,但合并CISO与DPO的角色可能会引发问题,因为这两个角色常常存在健康的对立关系。
如果公司仍希望合并这两个角色,务必谨慎行事。如今,安全和隐私已成为董事会层面的议题,公司需要在下次董事会议上对此进行充分讨论。
Darren Wray,数据保护解决方案执行官,隶属于Donnelley Financial Solutions (DFIN)
蚂蚁加速器官方网站畅享全球连接,无需等待,即刻体验极速便捷的网络访问,无缝穿越地域限制,实现一键高速连接,打破网络疆界。
交流蚂蚁免费加速器
-
- 地址
- 宁德市脆检星海353号
-
- 电话
-
- 工作时间
- 周一至周五:上午 10 点至晚上 8 点