什么是“通用数据保护条例”(GDPR)?

GDPR 将于 2018 年 5 月 25 日开始实施,旨在统一欧盟 (EU) 地区的数据隐私要求。如果您向欧盟数据主体(包括最终用户、客户和员工)开展销售或处理其信息,那么您需要了解如何满足这些关键要求。

您的 GDPR 之旅行进到哪一步了?

从头开始

来自 IBM® 的 GDPR 准备情况评估可帮助您确定将受 GDPR 影响的业务领域,并根据要求评估您的当前实践。立即开始 IBM GDPR 准备情况评估,包括差距分析和前进路线图。

获取源动力

IBM Security Guardium® Analyzer 解决方案允许您针对数据应用具备预先构建的 GDPR 导向型数据模式的下一代分类引擎,以及漏洞扫描功能,以便为合规或审计团队提供优先级明确的风险信息。

将计划付诸实施

Resilient Incident Response Platform 可帮助您履行 GDPR 规定的义务,简化事件响应过程,并缩短泄露事件通知时间。针对 GDPR 的组件已被纳入平台,包括 GDPR 准备指南、GDPR 模拟器和 GDPR 增强型隐私模块。

IBM Security GDPR Framework

准备工作的五个阶段

IBM Security GDPR Framework 提供全面的方法,涵盖从评估到合规的整个生命周期,帮助您的企业做好准备,满足 GDPR 要求。

隐私要求

根据所有 GDPR 规定,评估组织当前的数据隐私状态。发现企业内受保护信息的所在位置。

准备:

  • 开展 GDPR 评估,评估并记录 GDPR 相关策略
  • 评估数据主体在认可、访问、纠正、删除和传输个人数据方面的权利

发现:

  • 发现个人数据资产和受影响的系统并对其加以分类
  • 发现访问风险,通过设计为隐私提供支持

特色解决方案

安全要求

评估安全实践的当前状况,发现差距,设计安全控制措施。找出安全漏洞,确定所有个人数据资产以及受影响的系统,划分其优先顺序,设计相应的控制措施。

准备:

  • 评估当前安全状况,发现差距,建立成熟度基准,制定合规路线图
  • 发现漏洞,通过设计为安全提供支持

发现:

  • 发现个人数据资产和受影响的系统并对其加以分类,设计安全控制措施

 

特色解决方案

隐私要求

制定 GDPR 路线图和实施计划。使用评估阶段中发现的结果确定后续行动,帮助降低企业中的风险。

路线图:

  • 制定 GDPR 补救和实施计划

隐私保护从设计源头抓起:

  • 设计策略、业务流程和支持技术
  • 创建 GDPR 参考架构
  • 评估控制方或处理方监管

 

特色解决方案

安全要求

通过发现个人数据资产风险,确定安全补救措施和实施计划的优先顺序。包含用于数据保护的安全参考架构和技术/组织措施 (TOM),默认从设计源头开始实施安全保护。

路线图:

  • 制定安全补救和实施计划

安全保护从设计源头抓起:

  • 创建安全参考架构
  • 设计适用于风险的 TOM(例如,加密、假名化/假地址化、访问控制、监控等)

 

特色解决方案

隐私要求

实施和执行 GDPR 战略中的控制措施,包括策略、计划和技术。使企业转变为针对 GDPR 做好准备的组织。

转变流程:

  • 实施和执行策略、流程和技术
  • 自动处理数据主体访问请求

 

特色解决方案

安全要求

实施隐私增强控制措施,例如,加密、记号化和动态掩盖。实施所需的安全控制措施,例如,访问控制、活动监控和警报。缓解已发现的访问风险和安全漏洞。

保护:

  • 实施隐私增强控制措施(例如,加密、记号化、动态掩盖)
  • 实施安全控制措施;缓解访问风险和安全漏洞

 

特色解决方案

隐私要求

通过使用特定于 GDPR 的指标来管理 GDPR 监管实践。了解企业的风险缓解程度。开始向高管和董事会层面报告。

管理 GDPR 计划:

  • 管理 GDPR 数据监管实践,例如信息生命周期监管
  • 管理 GDPR 企业合规计划,例如,数据使用、许可活动、数据主体请求

运行服务:

  • 监控个人数据访问
  • 监管角色和身份
  • 制定 GDPR 指标和报告方案

 

特色解决方案

安全要求

在本地和云端管理和实施安全计划实践,例如,风险评估和缓解、事件发现、上报、响应、取证和解决、个人角色与职责。衡量和记录计划的有效性,并与利益相关方进行沟通。监控安全运营和情报:监控、检测、响应和缓解威胁。

管理安全计划:

  • 管理和实施安全计划实践,例如,风险评估、角色与职责、计划有效性

运行服务:

  • 监控安全运营和情报:监控、检测、响应和缓解威胁
  • 监管数据事件响应和取证实践

 

特色解决方案

隐私要求

增强并优化 GDPR 实践、发现问题所在领域并根据需要加以应对。有效管理控制方/处理方关系,了解是否遵循了关联的技术和组织措施 (TOM)。

证明:

  • 记录个人数据访问审计跟踪,包括数据主体对于访问、修改、删除、传输数据的权利
  • 运行数据处理方或控制方监管,包括提供处理方指南、跟踪数据处理活动、提供审计跟踪、为数据主体访问请求做准备等
  • 记录和管理合规计划:持续监控、评估和报告 GDPR 活动

响应:

  • 响应和管理违规情况

 

特色解决方案

安全要求

证明贵组织已实施技术和组织措施,确保采取了适用于处理风险的安全控制。这包括生成审计报告和记录用于衡量进度的指标。记录安全计划本身,包括有关持续监控、评估和报告安全控制与活动的策略。响应和管理事件与违规情况,在要求的 72 小时时间窗口期内向监管方报告。

证明:

  • 证明已实施技术和组织措施,确保采取了适用于处理风险的安全控制。
  • 记录安全计划:持续监控、评估和报告安全控制与活动

响应:

  • 响应和管理违规情况

 

特色解决方案

GDPR 对您意味着什么?

如果贵组织向欧盟公民开展销售或者处理欧盟公民的信息,那么就需要遵守 GDPR,无论您是否位于欧盟境内都是如此。这意味着,您需要了解 GDPR 数据保护要求,并立即开始制定计划来遵守这些要求。

了解 GDPR 准备工作为何超越了隐私和安全范畴

了解 IBM 如何帮助您响应这些要求。

听取隐私专家的意见

阅读文章,了解 IBM Security 隐私主管对于 GDPR 的看法。

释放 GDPR 的转型威力

了解如何从准备阶段进入转型阶段。

与我们的 GDPR 专家联系

Cindy E. Compert, CIPT/M

IBM Security 数据安全与隐私 CTO

Sam Samarah

IBM Security Services 北美安全战略风险和合规工作负责人

Jayne Golding, CIPP/US

IBM Security 欧盟隐私事务负责人

客户负责确保自己遵守各项法律法规(包括欧盟“通用数据保护条例”)的要求。客户自行负责征求有资质的法律顾问的意见和建议,确定和解读可能影响客户业务的任何相关法律和法规,明确客户为确保合规而可能需要采取的所有行动。 此处描述的产品、服务和其他功能并不适用于所有客户情境,可用性可能受限。IBM 不提供法律、会计或审计建议,也不表示或保证其服务或产品可确保客户遵守任何法律法规的要求。请访问此处,详细了解 IBM 自己的 GDPR 准备情况,以及用于支持您的合规之旅的 GDPR 能力和相关服务产品。

发布 IBM Security Guardium Analyzer

使用基于云的数据发现、数据分类和漏洞扫描,高效地识别与 GDPR 相关数据相关的安全风险和合规风险。

如需进一步咨询,IBM 随时为您提供帮助

电话咨询 (工作日9:00-17:00): 
手机:400-810-1818 转 2395
座机:800-810-1818 转 2395

扫码关注微信公共账号"IBM 安全"

扫码关注微信公共账号"IBM 安全"
汇集全面、详实的 IBM 安全资料 
第一时间为您提供安全解决方案

探索 IBM Security