5月25日，监管机构将正式开始执行欧盟的“通用数据保护条例”。为确保企业合规计划已经准备就绪，以下是您可以采取的策略。

欧盟将于5月25日开始执行通用数据保护条例(GDPR)。您的企业准备好了吗?

星系安全论坛(ISF)的董事总经理Steve Durbin说：“关于GDPR的事情，你永远不知道自己什么时候会发生违约。”信息安全论坛是一个全球独立的信息安全机构，专注于网络安全和信息封信啊管理。而GDPR能带来的最大挑战便是如何在企业中启用正在进行的程序，这不是一种纸盒训练，企业需要进行一场根本性的变革，用以在持续长远的基础上与GDPR达成一致。

欧盟于2016年4月通过了GDPR，经过5年多的努力，实现了欧盟的数据监管现代化。它适用于与欧盟居民有关的个人数据，无论这些数据是在哪里处理的。它还界定了欧盟数据保护立法的范围。而GDPR给监管机构提供了严重的考验——合规成本和罚款，在前一财政年度的全球年收入中，这一比例可以达到2000万或总收入的4%。

“在5月25日来临时，没有人真正知道将会发生什么。”德勤风险和金融咨询公司网络风险服务责任人Dan Frank表示“我在欧盟的许多同事说，监管部门可能需要一段时间来进行调查。我们坑会看到，为了这些监管措施的出台，需要6个月、8个月的时间，除非发生意外，否则不一定会有问题。”

换句话说，即使你的GDPR项目已经很晚了，但你还是应该开始。

个人数据处理原则

GDPR是建立在处理个人数据的六项原则之上，本条例规定个人数据应该被：

1.合法、公正和透明的处理

2.以指定的、明确的和合法的目的收集

3.仅限于满足组织所需要的必要条件

4.准确、必要时保持最新

5.保存一种行驶中，允许对数据对象的识别不超过必要

6.确保个人数据以适当、安全的方式进行处理

“GDPR的作用是迫使拥有欧洲个人数据的企业组织以合理的方式处理这些数据，并成为这些数据的良好保管者。这是为了确保他们使用这些数据的方式与欧洲公民的期望值保持一致。”云共享服务合规副总裁Crispen Maung表示“我们已经看到，GDPR的概念在全球范围内的分布比预期的要多，就其概念而言，它试图做的事情正在被远东监管机构消费，他们期望他们的国民数据得到处理和使用。”

每个人都在准备，基于云的身份管理上Okta的CIO Mark Settle补充道，从数据主权的角度来看，企业需要关心数据的物理位置，从金融机构、医疗保健甚至是石油和天然气都在处理这一问题。

你的企业是否受到GDPR的影响?

如果你还没有指定一个GDPR合规计划，你应该考虑一下你是否遵守了规定。即使你的公司在欧盟没有存在感，但也不一定与你无关。GDPR涵盖了欧盟公民的个人数据，如果你的公司出现了这些数据，它就必须遵守规定。例如，这将适用于美国的一家酒店，改酒店存储的信息就像更改公民信息一样严格。

IT专业网络Spiceworks的高级技术分析师Peter Tsai表示:“如果他们收集欧盟居民的个人数据，那么GDPR可能会应用于世界上所有的公司。”“任何在欧洲或欧洲公民中从事任何业务的公司都需要注意这一点，特别是如果他们还没有开始准备的话。”很多公司没有做任何事情，因为他们没有被告知这个问题。

根据ISF的GDPR实施指南，该规定适用于任何组织:

1.在欧盟;

2.在欧盟之外，但针对欧盟数据主题的商品或服务;

3.在欧盟之外，但监测欧盟个人的行为;

确定一个领头的监督机构

如果你的组织受到GDPR的影响，你需要在欧盟内部确定一个领导监督机构。根据ISF的GDPR实施指南:

1.组织成立于欧盟应该确定他们的领导监督权力基于他们的总部的位置。或者,如果不在欧盟总部，首席监管机构引导位于大多数数据主体所在的成员国或个人数据处理发生地。

2.在欧盟没有设立机构的组织，但在GDPR下适用的个人数据处理组织必须指定一名代表(在成员国中选定)或者进行个人数据处理。

准备GDPR合规

遵守计划的第一步是发现。您需要确定您的组织正在处理的个人数据的范围和性质。您的组织在GDPR的领土范围内处理哪些个人数据?

根据GDPR:

1.个人资料是“任何与已识别或可辨认的自然人有关的资料(资料科目)。”

2.个人资料的特殊类别是:“数据显示种族或族裔来源、政治观点、宗教或哲学信仰、工会会员、遗传或生物特征数据处理，以独特地识别自然人、有关健康的数据或有关自然人的性生活或性取向的数据。”

下一步是维护记录，以便您能够提供所有个人数据处理的准确、最新的细节。此要求只适用于:

3.你的组织雇佣了250人或更多的人。

4.您的组织雇员少于250人，但其个人数据处理可能会对数据主体的权利和自由造成风险，数据处理不是偶然的，或数据处理包括特殊类别的个人数据或涉及刑事定罪和犯罪。

需求的不同取决于您的组织是一个控制器还是个人数据的过程(许多组织都是)。控制器是确定处理个人数据的目的和方法的实体。处理器是代表控制器处理个人数据的实体。一般来说，GDPR在收集同意、管理撤销同意和允许访问个人数据的权利时，将onus放在数据控制器上。数据控制器还负责选择符合GDPR的数据处理器。

一旦确定了数据并确定了需要保存哪些记录，以及如何处理所有数据以及如何处理这些数据，就需要进行GDPR需求差距分析，以确定当前的兼容性级别。这将帮助您确定您的GDPR遵从计划的范围和您需要进行的关键活动以达到遵从性。

在其GDPR实施指南中，ISF建议组织在考虑以下情况时，确定解决其GDPR合规问题的优先事项:

1.可能是高风险的个人资料处理(例如，特别类别的个人资料、与刑事定罪或犯罪有关的资料，以及与儿童有关的个人资料)

2.不遵守特定领域，将会招致你的监管当局的严厉惩罚。

3.可能需要很长时间的更改(例如，必须执行系统开发，新的IT服务采购，以及实现的重要更改)

4.与你的风险偏好不符的做法。

CIO需要为GDPR做好备

德勤的Frank指出，GDPR的许多部分已经存在很长时间了。毕竟，它建立在1995年的欧盟数据保护指令上。他说，最令人担忧的领域是新的GDPR需求。

他说，其中一个大问题是个人信息处理库存。

Frank说:“你需要记录你从欧盟居民那里收集的所有信息，你如何使用它，你与谁分享，你如何运输它，你如何保护它。”

另外，可移植性和删除需求是一个很大的问题。如果一个欧盟公民要求它，你必须为你的组织所持有的那个公民的所有个人资料提供一个单一的数据文件。该文件必须可移植到另一个实体，并且您必须能够根据请求删除所有公民的个人数据，这包括了员工数据。

你如何回应员工的询问：“你对我有什么要求?我需要你把它删掉，你能向我证明你做得到吗?”Frank说，CIO和CISO们都需要考虑以下四点：

1. 个人信息处理的清单。“组织需要的许多数据都保存在结构化和非结构化数据存储库中。它在清点数据的过程中起着关键作用，”Frank说。

2. 第三方风险管理计划。Frank说:“如果信息安全功能没有良好的第三方安全评估程序，你将不得不仓促行事。”

3. 可移植性和擦除。“cio们需要考虑的是他们会采取何种极端措施。”你可以识别出几十个，如果不是数百个(个人数据)存储的地方，”Frank说。“你能记录一个程序来接收这些请求，接收这些请求，并回应那个人吗?”你会掷骰子说我不会得到很多这样的东西吗?极端的第二个目的是将技术手段用于创建来自所有不同来源的数据文件或从所有不同来源中删除的能力。

4. 隐私设计。cio需要确保它改变管理流程，以确保隐私是通过设计实现的，这包括数据保护影响评估。