A minősítés megszerzése vagy az adatvédelmi jogszabályoknak való megfelelés mindig nehéz. A normák betartása úgy érezheti, mintha a belső ellenőrzések futópadján állna. Így kerülheti el a belső audit kiégését.
A megfelelőségi web követelményei
Ha szervezete személyes adatokat gyűjt, dolgoz fel vagy továbbít, akkor be kell tartania az adatvédelmi jogszabályokat. Ez lehet a saját kormánya által bevezetett jogszabály, vagy a tengerentúlról származó jogszabály, attól függően, hogy az érintetteknek – akiknek az adatait feldolgozzátok – állampolgársága van. Az érintettek állampolgársága szabja meg, hogy mely külső adatvédelmi szabályok és előírások lépnek életbe, nem pedig az, ahol a vállalkozása található.
Ez a jogszabály hamarosan felhalmozódhat. Például az európai adatvédelmi jogszabály a Általános adatvédelmi rendelet. Az európai polgárokkal kapcsolatos személyes adatok feldolgozásakor be kell tartania a GDPR-t. Az Egyesült Királyság elhagyta a Európai Gazdasági Unió 2021. január 31-én. Az Egyesült Királyság adatvédelmi jogszabályai jelenleg az Egyesült Királyságé Adatvédelmi törvény (2018) (DPA2018). A DPA2018 második fejezete az EU GDPR-jének kissé módosított változatát tartalmazza. Tehát ha a brit állampolgárok személyes adatait dolgozza fel, akkor be kell tartania ezt a jogszabályt is.
Az Egyesült Államokban a Kaliforniai fogyasztói adatvédelmi törvény (CCPA) védi a kaliforniai lakosok személyes adatait és jogait. Nevada és Maine saját törvénykezésük van, és sok más állam – köztük New York, Maryland, Massachusetts, Hawaii és Észak-Dakota – saját adatvédelmi és adatvédelmi törvényeiket hajtja végre vagy fontolja meg.
Ne feledje, hogy nem az Ön tartózkodási helye számít, hanem az érintettek lakóhelye határozza meg, hogy figyelembe kell-e venni a helyi adatvédelmi törvényeket. Ezek közül vannak kivételek, például a feldolgozott személyes rekordok számától és a szervezet forgalmától függően. De még mindig felül kell vizsgálnia a jogszabályokat, hogy meggyőződjön arról, kénytelen-e megfelelni vagy sem.
Lehet, hogy be kell tartania más szakmai vagy ágazatspecifikus jogszabályokat, például a Egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA), a Gyermekek online adatvédelmi szabálya (COPPA), vagy a Gramm-Leach-Bliley törvény (GLBA).
Szeretné feldolgozni a hitelkártyás fizetéseket? Meg kell felelnie a Fizetési kártya iparági adatbiztonsági szabvány.
Aztán vannak opcionális szabványok, amelyeket megtehet választ elfogadni és követni, mint például a Európai ISO 27001 szabvány, az Egyesült Királyságé Cyber Essentials szabvány, vagy a Országos Szabványügyi és Technológiai Intézet (NIST) Kiberbiztonsági keretrendszer az Egyesült Államokban akkor kényszerülhet ezek beszerzésére, ha szakmai testülete megköveteli, vagy ha egy kellően nagy vevő megköveteli, hogy beszállítóik tanúsítsák elismert kiberbiztonsági szabványokat.
Számos szervezet önként fogadja el az ilyen szabványokat, és működik az ilyen szabványoknak megfelelően, hogy:
- Használja ki a keretrendszer által biztosított struktúrát és irányítást.
- Annak bemutatása, hogy komolyan veszik a kiberbiztonságot, és hogy az ügyfelek személyes adatait megfelelően védik.
- Üzleti megkülönböztetőként, vagy „én is”. Ha minden versenytársa rendelkezik tanúsítvánnyal, akkor követnie kell a példát.
- Engedje meg, hogy pályázzanak olyan kormányzati, katonai vagy egyéb szerződésekre, amelyek megkövetelik, hogy az ajánlattevő szervezetek megfeleljenek bizonyos előírásoknak.
Az elvégzett kutatások szerint felhő biztonsági cég Telos, az átlagos szervezetnek 13 különböző biztonsági és adatvédelmi vonatkozású szabványnak vagy előírásnak kell megfelelnie. Évente 3,5 millió dollárba kerül, és negyedévente 58 embernapot emészt fel.
A hörcsög karbantartási kereke
A jogszabályok vagy minőségi előírások betartásának vagy tanúsításának első része az irányelvek és eljárások kidolgozása. A második az alkalmazottak képzése és az eljárások és folyamatok megismertetése. Az utolsó lépés az említett irányelveknek és eljárásoknak megfelelően működik, és fenntartja a rendszert.
A fejlesztés és a megvalósítás végül véget ér, csakúgy, mint a személyzet tudatosságának növelése. Az új kezdők képzést kapnak a felvételi részeként, de a meglévő személyzet képzését végül befejezik. A rendszer karbantartása azonban soha nem ér véget.
Neked muszáj:
- Figyelje a meg nem feleléseket, és járjon el a folyamatok kijavítása érdekében, vagy képezze át a személyzetet úgy, hogy a megsértés ne ismétlődhessen meg.
- Ellenőrizze, hogy alkalmazottai betartják-e az eljárásokat, és hogy megfelelő ellenőrzési nyomvonalat tartanak-e fenn.
- Figyelje a jogszabályokat és a szabványokat a változások és módosítások tekintetében, és ennek megfelelően frissítse a házirendeket és eljárásokat.
- Legyen tisztában azokkal az új jogszabályokkal, amelyeket gyakran más joghatóságokban fogadnak el, amelyek befolyásolhatják a személyes adatok gyűjtésének, feldolgozásának vagy továbbításának törvényes alapját.
Több szabványnak vagy jogszabály-sorozatnak való megfelelés miatt ez meglehetősen megterhelést jelent. A belső ellenőrzések és a korrekciós intézkedések ciklusa teljes munkaidős háttérfeladat lehet. És óhatatlanul sok átfedés lesz a különböző keretrendszerek között, és sok ismétlődés fog bekövetkezni azokban a tevékenységekben, amelyek a magánélet és az adatvédelem hatékony minőségirányítási rendszereinek fenntartásához szükségesek.
Ez oda vezethet, hogy az ellenőrzéseknek fizetett szóbeszédet kell folytatniuk, és bosszúságként kell lebonyolítaniuk, amelyet a lehető leggyorsabban kell végrehajtani, ahelyett, hogy az alapos lenne. Mit tehet a megfelelés-ellenőrzés kiégésének elkerülése érdekében?
Hozzon létre egy fő ellenőrzési nyilvántartást
A különböző jogszabályok és szabványok technológiai megoldásokat követelhetnek meg bizonyos kérdésekben – például a tűzfalak és a végpontok védelme terén -, de követelményeik többségét a kormányzás. Ezeket az operatív ellenőrzéseket és biztosítékokat kell végrehajtani politikák és eljárások révén annak biztosítása érdekében, hogy a jogszabály minden záradékát vagy szakaszát kezeljék.
Hozzon létre egy listát az összes vezérlőből az összes fenntartandó keretrendszerből. Állapítsa meg, mit próbál elérni az egyes kontrollok. Rendelkezni fognak keretrendszerenként változó nevekkel, de a másolatokat azonosíthatjuk, ha megnézzük, hogy mit irányítanak. Minden esetben válassza ki a vezérlő legszigorúbb változatát, és vegye fel egy új listára.
Ez az új lista kiindulási alapot képez, amely alapján ellenőrizheti. Ha a belső ellenőrzése sikeres, és a fő listában szereplő ellenőrzések alapján ellenőrzi, akkor minden egyes keret ellenőrzése is átmegy. Olyan keretrendszer, mint a NIST Az információs rendszerek és szervezetek biztonsági és adatvédelmi ellenőrzései segíthet a törzslista formális, ellenőrizhető módon történő elkészítésében.
Az ellenőrzés gyakoriságát annak a keretnek kell meghatároznia, amely a leggyakoribb ellenőrzéseket igényli. Kevesebb időt tölthet el az ellenőrzéssel, tudván, hogy az összes keretet egyetlen audit lefedi.
Belső auditok beszerzése
A belső ellenőrzések nem csak az ellenőrzéseket végzőket és az eredmények átgázolását kötik le. Az osztályvezetők, a csoport vezetői vagy kijelölt helyetteseik belevágnak, és bizonyítékokat nyújtanak be az auditorok számára annak bizonyítására, hogy minden kötelező eljárást betartanak. Egy megfelelően felhatalmazott, elkötelezett auditcsoport eltávolítja ezt a terhet másoktól.
Nem akarja, hogy az audit titkos rendőrségnek tekintsék őket. Sokkal produktívabb lesz, ha olyan együttműködési egységként tekintenek rájuk, amely itt van, hogy eltávolítsa az ellenőrzési fájdalom pontokat. Ha egy bizonyítékot nem lehet megtalálni, vagy ez nem elegendő, akkor az ellenőrzési csoportnak naplóznia kell az eseményt, de segítenie kell a probléma kijavítását is. Idővel rájön, hogy ideális helyzetben vannak ahhoz, hogy ellenőrzési szószólókká váljanak, és támogassák a szervezet biztonsági előírásait és megfelelőségi jogszabályait.
Sok szervezet természetesen nem képes igazolni egy elkötelezett csapatot. A felelősség gyakran megosztható a megfelelő alkalmazottak között, fő munkakörük kiegészítéseként.
Egy másik lehetőség a belső ellenőrzések kiszervezése. Ez ellentmondásnak tűnhet, de egyszerű megoldás lehet. Meg kell találnia azokat az auditorokat, akik ismerik a betartandó keretrendszereket, és megértik, hogy belső ellenőrzéseket hajtanak végre a fő vezérlőlistáján.
Mivel külső entitásról van szó, nem rendelkeznek hálózati hozzáféréssel és egyéb privilégiumokkal, amelyek egy belső csapathoz tartoznának. Nem valószínű, hogy képesek lesznek segíteni a problémák kijavításában vagy az alacsony szintű bizonyítékok javításában. Azonban éppen azért, mert külső szervezetről van szó, más személyzet komolyabban veheti őket.
Szükséges gonosz
A kiégés ellenőrzése az auditorokat és az ellenőrzötteket egyaránt érinti. A fő vezérlőlista használata az auditáláshoz lehetővé teszi az összes keret legszigorúbb követelményeinek auditálását, ugyanakkor csökkenti az ellenőrzési költségeket. Azt is biztosítja, hogy mindig készen álljon az éves ellenőrzésekre és a helyszíni ellenőrzésekre.