Mô hình do CNIL đề xuất cho phép các công ty đánh giá hành động của họ về mặt bảo vệ dữ liệu.
Chia sẻ bài viết
Alexandra Patard / Đăng vào ngày 14 tháng 9 năm 2021 lúc 12:16 p.m.
Trích xuất từ bản tự đánh giá do CNIL đề xuất để đo lường việc quản lý bảo vệ dữ liệu của mình. © CNIL
Một mô hình trưởng thành để đo lường quản lý bảo vệ dữ liệu
Trong khi các công ty không quản lý việc bảo vệ dữ liệu của họ một cách đồng nhất, thì Ủy ban Quốc gia về Máy tính và Tự do (CNIL) cung cấp cho các công ty “tự đánh giá mức độ trưởng thành trong quản lý bảo vệ dữ liệu”. Những phản ánh đầu tiên được chia sẻ bởi ủy ban nhằm hỗ trợ các tổ chức đo lường và định lượng tốt hơn các hành động của họ liên quan đến việc bảo vệ dữ liệu của họ.
CNIL muốn các hành động này được xử lý dưới lăng kính của sự trưởng thành, cụ thể là “quy tắc chính thức mà các hoạt động liên quan đến bảo vệ dữ liệu được quản lý” và áp dụng “cho các hoạt động do tổ chức quản lý đối với tất cả các quy trình được thực hiện, cũng như tuân thủ đối với “Mỗi lần xử lý dữ liệu cá nhân”.
Đối với điều này, CNIL dựa trên một phương pháp dựa trên 5 các mức độ trưởng thành. Những điều này được xác định trên cơ sở các tiêu chuẩn quốc tế, cụ thể làISO/ IEC 21827 và hướng dẫn hoàn thiện ISS của ANSSI.
Mức độ trưởng thành của bạn là gì?
Để giúp các công ty “đánh giá mức độ trưởng thành của chính họ và xác định cách cải thiện việc quản lý bảo vệ dữ liệu của họ”, CNIL liệt kê 5 mức độ được mô tả thông qua một loạt các đặc điểm và hành động cần thực hiện trước khi chuyển sang giai đoạn tiếp theo. Này 5 Mức độ trưởng thành tương ứng với cách một công ty “thiết kế, triển khai, kiểm soát, duy trì và giám sát một hoạt động, bất kể hoạt động đó là gì”.
Các 5 mức độ trưởng thành được xác định bởi CNIL:
Mức độ 0 – Thực hành không tồn tại hoặc không đầy đủ: bảo vệ dữ liệu không được công nhận hoặc không được hỗ trợ trong công ty,
Mức độ 1 – Thực hành không chính thức: các thực hành cơ bản được thực hiện một cách không chính thức để đáp ứng các yêu cầu riêng lẻ, mà không có cam kết thực sự từ ban quản lý,
Mức độ 2 – Thực hành lặp lại và theo dõi: các hành động được lập kế hoạch, thực hiện và đo lường bởi một người chịu trách nhiệm bảo vệ dữ liệu và được giám sát bởi các nhà quản lý,
Mức độ 3 – Quy trình xác định: các phương pháp tiêu chuẩn hóa cho toàn bộ công ty và được chính thức hóa (bằng văn bản) được đưa ra, các nguồn lực và phương tiện được phân bổ cho họ,
Mức độ 4 – Quy trình được kiểm soát: các phép đo được thực hiện bằng cách sử dụng các chỉ số định lượng và định tính để có thể thực hiện các cải tiến đối với quy trình đã thực hiện,
Mức độ 5 – Quy trình liên tục được tối ưu hóa : việc phân tích các phép đo và cải tiến quy trình được tiêu chuẩn hóa và chính thức hóa để thích ứng với từng tình huống.
Các 5 mức độ trưởng thành do Ủy ban chi tiết. © CNILBạn nên thực hiện những hành động nào trong công ty của mình?
Tài liệu CNIL cũng trình bày một loạt các 8 các hoạt động điển hình, liên quan đến bảo vệ dữ liệu:
Xác định và thực hiện các quy trình bảo vệ dữ liệu, Quản lý quản trị bảo vệ dữ liệu, Xác định và cập nhật danh sách các hoạt động xử lý, Đảm bảo tuân thủ pháp luật của các hoạt động xử lý, Đào tạo và nâng cao nhận thức, Xử lý các yêu cầu từ người dùng nội bộ và bên ngoài, Quản lý rủi ro bảo mật, Quản lý vi phạm dữ liệu.
Các hoạt động tiêu chuẩn này được kết hợp với 5 mức độ trưởng thành, để đề xuất các hành động cụ thể được thực hiện trong công ty như một phần của quá trình tự đánh giá này. CNIL chỉ rõ rằng đó là một “công cụ hỗ trợ phân tích có thể góp phần thiết lập các điều kiện thuận lợi cho việc tổ chức các hành động được yêu cầu và làm cho chúng trở nên bền vững”. Do đó, nó không nhằm mục đích “đảm bảo tuân thủ trên thực tế” mà là một phần của quá trình trách nhiệm giải trình của doanh nghiệp.
Tải xuống bản tự đánh giá CNIL
