《郑欢-个人隐私保护合规体系建设实践V2.0.pdf》由会员分享,可在线阅读,更多相关《郑欢-个人隐私保护合规体系建设实践V2.0.pdf(24页珍藏版)》请在三个皮匠报告上搜索。
1、个人隐私保护合规体系建设实践趣丸科技 郑欢CONTENTS挑战框架实践展望01 挑战个人隐私合规体系建设的挑战政策法规密集出台,不同的解读影响对合规尺度的把控挑 战认知互联网行业业务运营、产品对个人信息使用的方式需转变节奏敏捷开发、快速的迭代,对合规检测效率和人力投入的挑战资源公司愿意为个人隐私合规投入的资源成本决定合规能力水平尺度02 框架运 营识别需求识别合规需求业务需求内控需求治理需求数据识别个人信息识别数据流识别数据owner识别分类分级风险识别合规风险应用风险数据风险保护数据收集同意管理场景/频率/范围静默收集第三方SDK合规数据传输传输加密API安全跨境合规第三方共享安全数据存储存
2、储加密去标识化存储期限数据使用处理身份验证权限管理数据脱敏数据防泄漏数字水印数据销毁用户注销机制数据擦除与归档物理销毁检测响应上线前PIA漏洞扫描渗透测试第三方SDK检测上线后定期合规巡检核心系统渗透测试红蓝攻防对抗暴露面检测情报监测操作审计外部响应监管上报用户告知危机公关第三方协同内部响应事件响应事件溯源事件根除事件复盘其他DSR隐私合规检测平台隐私合规SDK情报监测平台数据治理平台工具度量个人隐私保护能力成熟度模型组织机制个人隐私保护合规体系框架安全领导小组合规工作小组各业务线条内部审计组政策方针标准规范程序指南记录表单决策指导支撑改进03 实践实践组织建设信息安全领导小组合规工作小组业务
3、线反馈指导决策反馈内审组支持、评审需求汇报审计审计CEOVPGR法务安全产品线市场研发自上而下or自下而上不要忽略横向的联动实践管理体系建设数据与个人隐私保护信息安全扩展引用实践管理体系建设保持独立扩展兼容交叉引用单独新增安全方针政策物理安全管理网络安全管理系统安全管理组织管理人员管理漏洞管理供应链管理事件管理访问控制资产管理软件开发管理变更管理安全评审管理数据与个人隐私保护政策数据跨境管理个人信息保护影响评估数据分类分级管理个人信息保留期限与销毁个人信息泄露响应管理实践体系建设数据安全与个人信息保护政策,公司数据安全与个人信息保护的顶层设计数据安全管理办法,侧重数据生命周期安全个人信息保护管
4、理办法,除个人信息生命周期安全外,还包括用户权利、PBD、PIA等数据安全分类分级指南、个人信息与重要数据出境安全管理规范、个人信息影响保护评估指南、个人信息保留期限与销毁管理规范、个人信息泄露响应管理程序需求评审记录、隐私合规检测记录、数据委托处理协议、数据共享协议政策方针标准规范程序指南记录表单实践运营建设识别需求识别合规需求业务需求内控需求治理需求法规要求数据埋点职责分离分类分级行业政策数据分析权限管理数据质量标准规范营销活动流程管理业务风控审计管理自动化决策数据识别个人信息识别数据流识别数据owner识别个人敏感信息业务场景数据责任人一般个人信息数据源数据类型传输方式数据终点存储位置风
5、险识别合规风险应用风险数据风险默认同意未授权访问数据篡改未授权收集越权访问数据丢失超范围收集未脱敏展示数据泄露高频收集传输风险静默收集收集场景不合理实践运营建设01同意管理收集场景/频率/范围静默收集自启动/关联启动第三方SDK合规02传输加密API安全跨境合规第三方共享安全03存储加密去标识化存储期限04身份验证权限管理数据脱敏数据防泄漏数字水印05数据擦除与归档物理销毁数据采集数据传输数据存储数据处理数据销毁保护实践运营建设分类分级01多标签体系合理分级快速识别、打标访问控制02权限管理敏感信息访问二次认证接口安全03台账梳理鉴权、脱敏、最小化接口监控、审计加强内控04DLP/UEBA防范
6、社会工程弱口令保护实践运营建设需求评审建立多部门协同评审机制,覆盖9类隐私保护场景合规评估自动化隐私合规检测静态分析+动态分析检测技术未授权收集/高频收集/超范围收集/静默收集/自启动/关联启动/敏感权限调用/轻量级PIA实践运营建设响应0201030405联动外部联动:监管、应用市场、同行友商、第三方供应商内部联动:业务、研发、大数据、客服、公司高层评估根因分析业务影响评估整改周期评估改进问题修复整改验收发版排查其他产品线类似问题报告向监管反馈公司管理层反馈实践工具建设第三方SDK统一治理隐私合规SDK数据资产收集数据血缘分类分级权限管控数据治理平台上线前隐私合规检测定期巡检应急处置分析隐私
7、合规检测平台个人信息泄露情报监管通报情报情报监测平台实践度量企业个人信息保护能力成熟度模型能力域过程域用户权利保障企业处理过程保障企业内控管理保障用户告知用户决定用户查阅复制用户更正用户撤回同意用户注销成熟度个人信息收集个人信息传输个人信息存储个人信息处理个人信息共享交换披露个人信息归档销毁组织管理制度管理人员管理供应链管理事件管理隐私评估管理51数据跨境传输管理实践度量04 展望展望每年/两年一次,自行审计或聘请第三方,审计内容、规则尺度AIGC在个人信息保护体系中的应用场景,如AI打标、AI审核隐私政策等随着国家政策法规的落地,公民隐私保护意识的不断增强,隐私保护将成为企业的核心竞争力个人信息保护合规审计AIGC的应用核心竞争力Thank You关注我们安世加 专注于网络安全行业,通过互联网平台、线上线下沙龙、峰会、人才招聘等多种形式,致力于创建亚太地区最好的甲乙双方交流学习的平台,培养安全人才,提升行业的整体素质,助推安全生态圈的健康发展。