全文共7623字,阅读大约需13分钟。
一
摘要
《2023年隐私实践》总结了ISACA®2022年第四季度全球隐私状况调查结果,围绕隐私人员配置、预算、计划趋势、意识培训和隐私泄露事件以及隐私设计展开。有些调查结果与去年一致,但有些调查结果却表明,去年发现的一些隐私问题今年有所缓解。
二
执行摘要
《2023年隐私实践》基于2022年第四季度ISACA全球隐私状况调查结果,探讨了隐私人员配置、预算、计划、意识培训和隐私设计方面的趋势。
隐私监管快速发展,企业的隐私实践也要跟上,这一点至关重要。侵犯隐私会削弱客户信任,假以时日会导致企业声誉受损和巨额罚款。通过隐私计划保护数据主体并取得信任的企业与竞争对手相比会获得差异化优势。本文探讨了组织隐私状况。
三
主要发现
本次调查的主要发现如下:
法律/合规性隐私角色和技术性隐私角色都存在人员配备不足的问题,但与法律/合规性隐私角色相比,技术性隐私角色的人员配备略有或明显不足的概率稍微大一些。
与法律/合规性隐私角色相比,技术性隐私角色的需求在未来一年更有可能增长。
经验被认为是决定隐私职位候选人资格的最重要因素。
未来一年,对技术性隐私专业人员和合规性隐私专业人员的需求预计将出现增长。
隐私团队与信息安全、法律/合规性和风险管理团队的互动最为频繁。
进行隐私设计的企业更有可能:
1)配备充足的员工隐私队伍;
2)相信自己的董事会会合理关注企业隐私;
3)要求有成文的隐私政策、程序和标准;
4)不仅仅部署法律要求的隐私控制;
5)觉得自己的隐私预算资金充足。
四
调查方法
2022年第四季度,ISACA向全球约46,000名经过ISACA CSX网络安全从业人员认证™(CSX-P™)、注册信息安全经理®(CISM®)或注册数据隐私解决方案工程师™(CDPSE™)认证或职务名称中带有“隐私”的ISACA成员发出了调查邀请。调查数据通过SurveyMonkey匿名收集。共有1890名受访者完成了调查,其答案已计入调查结果。
最常见的认证是CISM认证:75%的受访者持有CISM认证,42%的受访者持有注册信息系统审计员®(CISA®)认证,35%持有CDPSE认证。43%的受访者担任管理职务,26%担任高级领导职务,21%为非管理人员,10%担任高管职务。图1给出了受访者的其他信息。
图1 受访人群分布
五
隐私人员配置
调查发现,企业中专门承担隐私相关责任的员工的平均人数为26人,略高于去年的数值(25人)。
隐私工作人员的角色包括法律/合规性从业者、技术IT人员、风险专业人员和安全专业人员。图2给出了担任这些角色的员工分布。
隐私从业者通常可分为两大类:法律/合规性或技术性。法律/合规性隐私人员了解适用于企业的隐私法律法规,但可能缺乏技术专长;技术性隐私人员拥有应用控制的技术专长,助力保护隐私并实现合规。
图2 隐私员工角色(贵司员工中担任以下职务的比例是多少?)
根据ISACA的调查结果,法律/合规性和技术性隐私团队都存在人手不足的情况。44%的受访者表示,法律/合规性隐私团队的人手稍显或明显不足,而53%的受访者表示技术性隐私团队的人手稍显或明显不足。与法律/合规性团队相比,技术性隐私团队的人员不足情况更为严重,这与前几年的发现一致。
尽管人手不足仍是个问题,但与去年相比有所改善(见图3)。原因可能是,与去年相比,企业更加重视隐私和/或增加了隐私预算。去年,35%的受访者表示,他们的隐私预算将在未来12个月内有所增加。
图3 2023年与2022年隐私人员不足问题比较(隐私角色的人员配备不足问题)
有些企业已开始采取措施解决人手不足的问题。27%的受访者表示,所在企业的法律/合规性隐私职位有空缺,34%表示技术性隐私职位需要招人。通常,招聘隐私人员耗时较长(见图4和图5)。
图4 法律/合规性隐私人员的招聘周期(平均而言,招聘到合格的法律/合规性隐私人员需要多长时间?)
图5 技术性隐私人员的招聘周期(平均而言,招聘到合格的技术性隐私人员需要多长时间?)
在过去一年中,部分受访者表示招聘隐私人员的周期有所缩减,但大多数人表示,周期增长或保持不变。对于法律/合规性职位,14%的受访者表示,招聘周期略有或显著减短,19%表示时间显著或略有增加,31%表示保持不变。技术性隐私职位也差不多,16%的人表示招聘周期略有或显著减短,23%的人表示时间显著或略有增加,30%表示保持不变。
快速填补职位空缺的一大挑战是缺乏合格的求职者。大约五分之一的被调查企业中,只有不到四分之一的隐私职位申请人完全符合所申请职位(法律/合规性和技术性隐私职位)的要求。经验是决定申请人资格的主要因素。图6列出了用于评估隐私职位申请人是否合格的各个要素的重要性。
图6 评估申请人资格的各个要素的重要性(在确定隐私职位人选是否合格时,以上各因素有多重要?)
76%的ISACA调查受访者表示,专家级隐私角色最难招聘,其次是从业者知识水平(51%)和入门级/基础知识水平(12%)。
技能差距
63%的受访者认为,缺乏多种技术和/或应用经验是当前隐私专业人员的最明显技能差距;评估隐私职位候选人是否合格时,经验也是最重要的因素(图6)。54%的受访者表示,在框架和/或控制方面的经验存在较大技能差距。其次是了解企业适用的法律法规(46%),紧随其后的是缺乏技术专长(45%)。
其他技能差距包括:
业务洞察力(39%)
IT运营知识和技能(38%)
软技能,包括沟通、灵活性和领导力(34%)
网络和/或其他基础设施知识和技能(33%)
商业道德(18%)
企业正在努力缩小这些技能差距。图7列举了企业所采取的解决方案。
图7 解决隐私技能差距的方法(贵司采取了以上哪些方法(若有)来帮助减少隐私技能差距?)
六
隐私预算
除了隐私技能不足外,预算不足也导致隐私团队面临人员配置不足问题。42%的ISACA调查受访者表示,所在企业的隐私预算资金略有或严重不足,36%的人表示资金充足,7%的人认为资金严重或略微过剩,14%的人不清楚。这与去年相比略有改善,当时45%的受访者认为隐私预算资金不足,而与2021相比则有较大改善,当时49%的受访者认为隐私预算资金不足。
认为隐私预算资金充足的受访者从去年的33%增加到了今年的36%。这些改善的背后原因可能是企业开始认识到隐私的重要性,采取措施增加资金。认为所在企业的隐私预算在未来12个月将大幅或少量增长的受访者比例从去年的35%略微下降至34%,这可能是因为更多的受访者认为企业的隐私预算资金充足,因此可能不需要增加资金。
12%的受访者预测(去年为8%),所在企业的隐私预算将在未来12个月有所或大幅减少,所以,有些企业受制于有限的资源,可能需要缩减规模。
七
隐私计划趋势
根据企业的组织架构以及高管的技能和能力,负责企业隐私的角色各不相同。图8列举了受访企业中主要负责隐私的角色。21%的受访者表示首席隐私官对隐私负责,16%表示首席信息官对隐私负责,14%表示高管级别的安全官(如首席信息安全官(CISO)或首席安全官(CSO))对隐私负责。
确保合适的隐私负责人至关重要,因为此人可在泄露事件发生时指导响应工作,并为隐私团队代言,请求获取资金等资源。这种问责制还有助于将隐私目标与其他组织目标对齐。
39%的受访者表示,缺乏高管或业务支持阻碍了隐私计划的制定,38%的受访者表示在组织中缺乏存在感和影响力是一大阻碍。要解决这些问题,可以指定有实权的C级高管来为隐私站台。图9列举了企业在制定隐私计划时面临的挑战。
图8 隐私责任(谁对组织中的隐私负有主要责任?)
图9 阻碍隐私计划制定的因素(以上哪些因素(若有)阻碍了组织制定隐私计划?)
7.1 隐私团队与其他领域的互动
隐私相关法律法规不好理解,技术性隐私人员必须与法律/合规性隐私人员密切合作。两个团队应定期会面,了解法律法规义务,确保技术控制到位,符合法律法规要求。图10列举了调查企业中技术性隐私人员与法律/合规性隐私人员会面的频率。
28%的受访者表示,他们的技术性隐私人员和法律/合规性隐私人员每季度碰一次头,25%表示每年一到两次,17%则反馈每月一次。另有17%的受访者表示,当有新的隐私法律法规出台时,技术性和法律/合规性隐私专业人员会临时组织会议。
令人担忧的是,近三分之一的受访者表示本公司这两类人员的会面频率还达不到每季度一次。监管状况瞬息万变,业务运营也在不断发展,这些都要求技术性和法律/合规性隐私专业人员增加会面频率。同样令人担忧的是,近五分之一的受访者表示只有在新的隐私法律和法规出台时才会碰头;如果只在合规环境发生变化时才召开会议,隐私工作可能就很被动,无法及时展开。
隐私团队必须跨部门协作,确保隐私因素会在全企业范围通盘考虑。受访者表示,隐私团队经常与信息安全(32%)、法律和合规(29%)或风险管理(22%)团队互动。
隐私团队还定期与IT运营和开发、采购、内部审计、人力资源、销售/营销/客户关系、财务、产品/业务开发以及公共和媒体关系进行互动。
图10 技术性和法律/合规性隐私人员之间的会面频率(技术性隐私人员与法律/合规性人员多久碰一次头以了解法律法规要求?)
7.2 董事会在隐私方面的参与度
董事会对于隐私问题采取的手段对隐私团队的日常运营影响巨大。大多数受访者认为,董事会充分重视隐私。55%的受访者认为董事会充分重视隐私,22%的人持相反意见,20%的人不清楚。(百分之三的人表示不适用。)有相当比例的受访者不知道董事会是否重视隐私,原因可能是董事会未向下传达此类信息。这一结果还可能表明,董事会言行不一,虽然口头表达了对隐私的支持,但缺乏实际行动。
董事会看待隐私的角度会有不同。董事会对隐私计划的不同看法如图11所示。
纯合规驱动的隐私方法有很多问题。全球的隐私环境急剧变化,主要关注合规性的组织可能会疲于应付。将隐私计划视为纯合规驱动,隐私计划就不可能具有主动性,只能是被动的。隐私团队可能觉得总是与合规要求有一步之差,无法有效保护数据主体的隐私。
图11 董事会对隐私计划的不同看法
7.3 监控隐私计划
企业监控隐私计划至关重要。通过定期监控,企业可判断哪些地方做得比较好,哪些地方需要改进。企业加强监控隐私计划,可以了解隐私计划的演变过程。图12给出了监控隐私程序有效性的常用方法。
董事会对于隐私问题采取的手段对隐私团队的日常运营影响巨大。
30%的受访企业将隐私事件的数量作为衡量其隐私计划有效性的指标。这一指标应与另一监控机制相结合。只关注隐私事件数量的组织,在事前无法知晓其隐私计划的不足之处;事件发生后,则可能遭受声誉和信誉方面的双重损失,且这种损失不可逆转。隐私事件还可能导致巨额罚款。因此。最好使用前瞻性指标来评估隐私计划的有效性,避免高额罚款。
图12 企业如何监控隐私计划的有效性(贵司如何监控隐私计划的有效性?)
八
隐私意识培训
隐私团队可能规模较小,人手不足,但企业中的每个人都有责任保护隐私,这就是隐私意识培训的重要所在。85%的受访者企业为员工提供隐私培训。隐私意识培训的频率如图13所示。
应定期提供隐私意识培训。由于隐私监管环境和技术的快速变化,还应定期评审和修改培训内容。59%的受访者表示,所在企业每年都会评审和修改隐私意识培训,24%会在新法律法规出台时这么做,9%每2~5年会评审一次,4%不做任何修改。
图13 隐私意识培训的频率(贵司何时提供隐私培训?)
要评估员工是否受益于隐私意识培训,企业应对培训课程进行监控。受访企业评估隐私培训课程效果的指标如图14所示。
仅仅依靠隐私事件数量和/或从客户处收到的隐私投诉数量是被动方法,存在缺陷。这种方法意味着直到发生了隐私事件或收到隐私投诉时,企业才知道培训效果不佳。尽管跟踪完成隐私培训的人数会有一定意义,但这并不能揭示隐私培训的效果,只是将培训视为一项“打对勾”任务,而未评估员工的收获。
培训前和培训后评估是一个更有效的衡量指标,揭示了员工是否从培训课程中有所得。如果培训前和培训后评估结果没有差异或差异极小,可能表明隐私意识培训需要进行改变。
大多数受访者认为,隐私培训课程对企业有利。26%的受访者表示,隐私培训和意识课程具有明显的积极影响,47%表示具有一定的积极影响。
在57%的受访企业中,隐私意识培训与安全意识培训分开进行,而31%的受访企业并未将两者区分。
尽管隐私培训和安全培训可以结合起来同时提供,但问题是,这种培训无法涵盖与隐私相关的所有主题。没有安全就不可能有隐私,但有了安全并不一定能保证隐私。
图14 隐私意识培训效果评估指标(贵司使用哪些指标来评估隐私培训课程的效果?)
九
隐私框架和法律法规
82%的受访者使用框架或法律/法规来管理企业的隐私。73%的受访者表示,针对隐私问题,必须制定隐私政策、标准和程序。最常用的三大隐私管理框架和法规是:
《通用数据保护条例》(GDPR):50%
美国国家标准与技术研究院(NIST)的《隐私框架》:46%
ISO/IEC 27002:2013《信息技术—安全技术—信息安全控制实用规则》:36%
毫不意外的是,用以管理隐私的框架和法规存在地区差异。79%的欧洲受访者使用GDPR。可能你会惊讶于欧洲只有79%的受访者使用GDPR,但这可能部分归因于英国脱欧。美国61%的受访者使用NIST的《隐私框架》。
现行的隐私法律法规很多,部分企业难以识别和了解自己的隐私义务。23%的ISACA调查受访者表示,难以或很难识别和了解自己的隐私义务。这一发现说明了技术性隐私人员与法律/合规性隐私人员定期会面的重要性,因为许多技术性隐私专家没有法律背景,不了解法律法规的具体规定。
如本报告前文所述,本年度隐私预算似乎比去年更为充足,人手不足的情况似乎也在改善。部分原因可能是企业感受到隐私团队的压力,相应提高了隐私预算和员工规模。造成这种压力的部分原因可能是数据主体请求量增加。34%的受访者表示,数据主体的请求量有所或显著增加。
十
隐私泄露和隐私问题
保护数据安全和遵守隐私法律法规并非易事,但45%的受访者对其隐私团队确保数据隐私及遵守新的隐私法律法规的能力表示完全或非常有信心。这种自信可能来自于对常见隐私问题的理解。常见隐私问题如图15所示。
仅有11%的受访者表示,所在企业在过去12个月内遭遇了严重的隐私泄露,这一比例略高于去年的10%。64%的受访者表示,所在企业不存在隐私泄露,17%的人表示不清楚,9%的人选择不回答。尽管表示“不清楚”的受访者比例似乎较高,但有可能
他们知道发生了安全事件,但不确定个人信息是否泄露。停留时间(从泄露发生到企业发现泄露的时间)也可能是一个原因,使得受访者不清楚是否发生了隐私泄露行为。图16给出了本年与去年的隐私泄露事件数量对比情况。
图15 最常见的隐私问题(在您看来,哪些是组织中最常见的隐私问题?)
图16 本年与去年的实质性隐私泄露数量对比(与一年前相比,贵司的实质性隐私泄露事件是否有所增加或减少?)
十一
隐私设计
隐私设计是一种系统工程方法,该方法“要求使用个人数据的任何系统、过程或基础设施在其开发生命周期中考虑隐私,识别数据主体的权利和自由可能面临的风险,并在可能造成实际损害之前将风险降至最低。”受访企业实现隐私设计的频率如图17所示。30%的受访者表示,所在企业一直进行隐私设计,30%的受访者称经常进行隐私设计。
将一直进行隐私设计的企业与被调查企业的总数进行比较,我们发现了一些值得关注的趋势。一直进行隐私设计的企业:
更可能将隐私培训与安全培训分开(65% vs. 57%)
受访者对所在企业确保敏感数据隐私的能力表示具有充分或一定程度信心的概率高出0.5倍(65% vs. 40%)
更可能依赖人工智能(AI)或自动化(25% vs. 20%)
由于不进行隐私设计被视为常见的隐私问题(图15),较多企业未始终贯彻隐私设计多少令人惊讶。原因可能是,始终贯彻隐私设计的企业更有可能拥有如此行事所需的资源(图18)。在一直进行隐私设计的企业中,隐私员工人数的中位数为19,几乎是所有受访企业中隐私员工人数中位数(10)的两倍。
图17 进行隐私设计的频率贵司的隐私设计有多频繁?
图18 始终贯彻隐私设计的企业趋势
始终进行隐私设计的企业中,44%的受访者认为隐私部门人员充足,而全部受访者中的这一比例为34%。此外,始终进行隐私设计的企业的董事会似乎更重视隐私,76%的受访者表达了这一看法,而全部受访者中这一比例仅为55%。
始终进行隐私设计的企业中,受访者对其团队确保数据隐私和遵守新隐私法律法规的能力更有可能表示出具有充分或一定程度的信心,具体比例为76%,而全部受访者中这一比例为35%。
始终采用隐私设计的企业中,其董事会将隐私计划视为纯合规驱动的可能性较小(24% vs.33%)。隐私设计的一个关键原则是,隐私应该是主动而非被动的,而纯合规驱动的计划通常是被动的,所以始终进行隐私设计的企业一般不会被动行事就能说得通了。
十二
隐私的未来
新的隐私法律法规不断涌现,数据主体对隐私越来越关注,这些都表明,隐私很重要,隐私人员的工作对企业的成功发挥着关键作用。
考虑到隐私团队须满足的各种要求以及越来越多的国际隐私法律法规,预计未来一年对隐私专业人员的需求将有所增长。
62%的受访者表示,明年对法律/合规性职位的需求将有所增加,而69%表示对技术性隐私职位的需求将会增加。
隐私人员的主要职责是应对隐私泄露。图19显示了未来一年发生隐私泄露的可能性。
图19 未来一年发生实质性隐私泄露的可能性(贵司明年遭遇实质性隐私泄露的可能性有多大?)
大约五分之一的受访者不清楚未来一年是否会发生隐私泄露,可能是因为隐私风险是一个不太成熟的领域,或者企业没有将其视为重点工作。
招聘合适的隐私人员困难重重,实质性隐私泄露会带来后果,这让一些企业开始或计划使用人工智能进行隐私保护。图20为受访企业使用人工智能解决隐私问题的情况。今年使用人工智能的受访者多于去年,但计划在未来12个月内将人工智能用于隐私的人数与去年相同。
隐私团队人手严重不足,但令人惊讶的是,近38%的受访者不打算使用人工智能,可能因为考虑到与人工智能相关的隐私问题。大量受访者不清楚公司是否计划将人工智能用于隐私,可能也是因为这些问题。
图20 将人工智能用于隐私相关任务的规划情况(贵司计划如何使用人工智能(机器人或机器学习)执行与隐私相关的任务?)
十三
总结
数据可以提供个人健康、宗教、倾向性、政治信仰等方面的信息。保护数据主体的隐私对于建立和维护数字信任至关重要,因此,企业必须重视隐私。未来几年,隐私法律法规的数量只会增加,企业若因侵犯隐私而被大肆报道会失去消费者的信任。
尽管保护数据隐私面临各种挑战,但ISACA在调查中发现了一些积极信号:企业越来越重视隐私,开始调整预算,隐私团队规模超越了去年。尽管还有改进空间,而且许多企业认为资源不足,但总体而言,企业正着力为隐私团队提供更有力的支持。
· 免责声明 ·
该文章原文版权归原作者所有。文章内容仅代表原作者个人观点。本译文仅以分享先进网络安全理念为目的,为业内人士提供参考,促进思考与交流,不作任何商用。如有侵权事宜沟通,请联系[email protected]邮箱。
· 文章信息 ·
发布机构:国际信息系统审计协会(ISACA)
发布日期:2023年1月
原文链接:https://www.isaca.org/resources/reports/privacy-in-practice-2023-report?tfa_next=%2Fresponses%2Flast_success%3Fjsid%3DeyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.IjFmZTk1Y2E3NGI0ZjEzYzg4YmU4N2NmZTk1ZGE1MTdmIg.kM3z-VFUGbn4uwJcqfJB7KdX5xl_kDVdhGmbAojX0wY
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。