EY: ¿Cómo reducir los riesgos corporativos mediante la eliminación de datos?
2065438+La "Ley de Ciberseguridad de la República Popular China" que entró en vigor en junio de 2007 establece requisitos para la protección de la información personal. De 2017 a 2020, el estándar de seguridad de la información personal GB/T 35273-2020 se revisó tres veces y el estándar nacional estandariza las recomendaciones para la protección y el procesamiento de la información personal. El 21 de 2020, el Comité de Asuntos Jurídicos de la APN también solicitó públicamente opiniones sobre la "Ley de Protección de Información Personal (proyecto)". Para garantizar el cumplimiento, además de cómo proteger la información confidencial, cómo manejar la información confidencial también se ha convertido en una de las tareas importantes que las empresas deben considerar.
El procesamiento de datos es un término general que se utiliza para ayudar a las empresas a adoptar diferentes enfoques para el manejo de datos confidenciales. Estos métodos de eliminación son consistentes con las leyes y regulaciones, los sistemas de retención de datos, los requisitos del consumidor u otras necesidades comerciales. Para establecer soluciones eficientes de procesamiento de datos, las empresas deben establecer asociaciones con los departamentos comerciales para que puedan comprender el ciclo de vida y el proceso de circulación de los datos y conectar la seguridad de los datos en todos los niveles.
Las soluciones de procesamiento de datos ejecutables suelen adoptar uno o dos de los tres métodos siguientes según las necesidades empresariales y los casos de uso de datos.
01. Eliminación
La eliminación se refiere a la eliminación permanente y completa de datos personales en el sistema existente (como reescribir, eliminar registros). El beneficio de la eliminación es que puede minimizar el almacenamiento de datos y reducir los riesgos regulatorios, pero los datos ya no se pueden utilizar para análisis u otras necesidades comerciales, y las empresas necesitan mantener registros de eliminación.
02. Desidentificación
La desidentificación se refiere a la desidentificación de información personal, como el anonimato. La ventaja es que se puede eliminar la identificación personal, se pueden conservar los datos relevantes y se puede seguir analizando la información no identificada; sin embargo, el desafío de este método es volver a identificar los datos confidenciales en función de otros campos y diccionarios de datos eficientes; y los marcos de procesamiento de datos también son indispensables.
03. Agregación
La agregación se refiere a la agregación de datos personales, como resumen, intervalo, etc. El beneficio de la agregación es que se puede analizar y comprender sin conservar los datos confidenciales subyacentes, pero puede eliminar contenido importante de la información personal y es posible que no pueda satisfacer las necesidades del análisis empresarial cuando las necesidades cambian.
Con el advenimiento de la era digital, el desarrollo empresarial y la innovación se enfrentan a enormes oportunidades, pero también van acompañados de muchos desafíos difíciles, uno de los cuales es el procesamiento de datos. A muchas empresas les resulta difícil mantenerse al día con el ciclo de vida de sus datos (es decir, recopilación, almacenamiento, retención y eliminación de datos). Los desafíos comunes para implementar un programa de eliminación de datos eficiente incluyen la expansión de los programas regulatorios y los requisitos de cumplimiento emergentes, el procesamiento de datos en la nube o en las instalaciones, la explosión en el almacenamiento y el uso, la recopilación y el almacenamiento de datos confidenciales históricos más allá de los períodos de retención, la integración y propiedad empresarial limitadas, falta de capacidades de gobernanza de datos e incapacidad para gestionar el ciclo de vida de los datos.
Dados los desafíos que enfrentan los clientes con el procesamiento de datos, EY se centra en ofrecer soluciones sostenibles que garanticen el cumplimiento y los requisitos de protección de datos mientras mantienen la disponibilidad de los datos. Las soluciones de procesamiento de datos de EY están centradas en las personas y impulsadas por procesos, habilitadas por plataformas tecnológicas patentadas. Los datos pasan por diferentes etapas en el programa de procesamiento de datos:
01 Estrategia y alcance
02 Desarrollo del framework
03. >
p>
04. Mejora continua
El esquema de procesamiento de datos de EY proporciona flexibilidad para cumplir con las obligaciones de privacidad y seguridad, y se pueden lograr los máximos beneficios combinando ambos métodos de procesamiento de datos en el esquema. Una son las medidas preventivas. Las empresas toman medidas proactivas para procesar datos personales eliminándolos, desidentificándolos o agregándolos antes de que se transfieran a todos los sistemas.
El segundo es procesar a pedido y el departamento comercial realiza una solicitud o tiene obligaciones de protección de la privacidad. Por ejemplo, si un consumidor solicita la eliminación de datos personales basándose en el derecho al olvido, la empresa debe iniciar el proceso de eliminación y responder a la solicitud dentro de un tiempo específico.
Los beneficios que se pueden obtener a través de las soluciones de procesamiento de datos incluyen la reducción de riesgos, la gestión de datos, la optimización de costos, la simplificación de la privacidad y los requisitos de gobierno corporativo. Las empresas pueden reducir los riesgos generales para la privacidad de los datos y los riesgos de seguridad mediante la eliminación, la desidentificación, la agregación, etc., mientras que la eliminación de datos puede gestionar y racionalizar los datos más importantes de la empresa, logrando aún más la prioridad de los datos y reduciendo la duplicación, de modo que los derechos de Los individuos y las organizaciones pueden ser protegidos Respeto, incluida la clasificación de bases de datos, controles de privacidad, reglas comerciales y desidentificación.
El procesamiento de datos permite a las empresas determinar los datos más confidenciales que deben identificarse primero, con muchos menos pasos de los que normalmente se requieren para mantener segura la información personal. Finalmente, confirme que todos los métodos de eliminación de datos se implementen de acuerdo con los sistemas, estándares y regulaciones empresariales existentes relacionados con la retención y eliminación de datos mediante la creación/actualización de procesos y protocolos.
01. Definir datos y marco de datos: entrevistar a los propietarios de datos y a los líderes empresariales para determinar los tipos de datos, los elementos de datos y los sistemas utilizados en los procesos comerciales de la empresa.
02. Comprender cómo se utilizan los datos: a través de la cooperación con el personal empresarial, comprender cómo se crean, extraen, mejoran, almacenan y disfrutan los datos durante los procesos empresariales y el análisis de datos.
03. Confirmar las interdependencias de los datos: identificar asociaciones y referencias cruzadas de elementos de datos para comprender el linaje de los datos y el impacto de los cambios de datos en la empresa.
04. Los datos relacionados con el plan de retención deben conservarse de acuerdo con la ley: Los datos deben conservarse de acuerdo con los requisitos de las leyes y regulaciones y se debe desarrollar un plan de retención correspondiente para garantizar que se cumplan los requisitos estratégicos. cumplir con el período mínimo de retención.
05. Diseñar soluciones de desidentificación y procesamiento de datos: Diseñar métodos de desidentificación o procesamiento de datos (eliminación, cifrado, anonimato, etc.). ) para lograr la expansión del negocio y cumplir con los requisitos de retención y procesamiento.
06. Desarrollar e implementar un plan de procesamiento de datos: Desarrollar un proyecto para implementar procedimientos, controles y soluciones de procesamiento de datos para cumplir con los requisitos de retención y procesamiento de datos.
07. Desarrollar una hoja de ruta de implementación del plan: priorizar la implementación de proyectos de procesamiento de datos, estimar los costos de implementación y de estado estacionario, y determinar los planes de implementación del proyecto.
Para maximizar la eficacia del procesamiento de datos corporativos, este debe ser coherente con la estrategia general de protección de datos y la estrategia corporativa. El enfoque incluye la integración de la disposición de datos en el gobierno, la gestión y la transformación de datos, así como la gestión de metadatos, la privacidad de los datos, la protección de datos y más. Para comprender mejor el alcance de las necesidades de procesamiento de datos de una empresa y desarrollar las mejores estrategias para identificar y mitigar los riesgos clave, cada proceso (como el descubrimiento de datos) debe respaldar el mantenimiento y la gestión continuos de los datos. Estos puntos ayudan a respaldar y definir estrategias de protección de datos para reducir los riesgos de los datos sin interrumpir las funciones comerciales.
Las empresas pueden repensar sus métodos y controles de retención de datos para la protección y eliminación de datos y gestionar y reducir el riesgo mediante:
Los factores de éxito incluyen:
Hacer que los datos Para que los procedimientos de procesamiento sean más efectivos, las empresas deben comprender la relación entre los procedimientos y otras medidas de protección de datos y privacidad. Los equipos de EY se basan en nuestra experiencia de servicio central en protección de datos y privacidad para ayudar a los clientes a establecer estratégicamente procedimientos de procesamiento de datos que cumplan con los conceptos de seguridad y privacidad. Ayudamos a las empresas a adoptar este enfoque holístico y comprender su impacto en la privacidad y la protección de datos en general para que puedan controlar y mitigar con éxito los riesgos clave.
01. Estrategia y Transformación de Protección de Datos: Servicios para evaluar, diseñar y mejorar los planes estratégicos generales de protección de datos y su gobernanza.
02. Evaluación y mejora de los procedimientos de protección de la privacidad: Este servicio apoya la determinación de políticas de privacidad de datos y apoya a los clientes en el proceso de transformación de la privacidad.
03. Protección de Activos de Información de Alto Valor (HVIA): Servicios para diseñar e implementar planes de protección de HVIA, incluyendo la identificación, clasificación, gobernanza, protección y eliminación de información de alto valor.
04. Soporte técnico de protección de datos: ayudar a los clientes a seleccionar e implementar soluciones técnicas para soluciones clave de protección de datos y privacidad.
05. Servicios de gestión: Servicios que ayudan a los clientes a continuar operando e implementando procesos de protección de datos y privacidad.
06. Estrategia y transformación de protección de datos: Servicios que ayudan a los clientes a desarrollar e implementar soluciones de cifrado para procesar y proteger la información.
Este artículo está destinado a proporcionar información general y no pretende ser un asesoramiento contable, fiscal, legal o profesional confiable. Solicite asesoramiento específico a su asesor.