当前位置:主页 > 虚拟主机 > 正文

华为云_阿里国际云_学生机

时间:2021-07-22 20:36 来源:埃里克云 编辑:埃里克云

核心提示

作者: Anderson Santana de Oliveira,SAP Product Security Research高级研究员 Polen Pei,SAP GRC Risk Management产品负责人 Data Protection Impact Assessment(DPIA)用于评估对个人的潜在危害以及执行过程的风...

作者:

Anderson Santana de Oliveira,SAP Product Security Research高级研究员

Polen Pei,SAP GRC Risk Management产品负责人

Data Protection Impact Assessment(DPIA)用于评估对个人的潜在危害以及执行过程的风险。修订后的《欧洲一般数据保护条例》对衡量业务对隐私的影响有着强烈的要求。根据这一规定,在某些情况下,组织必须执行DPIA。一旦新的欧盟通用数据保护条例(EU GDPR)生效(2018年初),各组织将必须执行DPIA。

作为一个运行示例,假设ACME AG希望改进其招聘流程。它将首先与社交媒体整合,例如,允许潜在人才使用LinkedIn提供的个人资料信息。它还打算与第三方门户网站合作,发布有关其接收的应用程序的统计信息。此外,他们还将使用一些自动化处理,将候选人简介与发布的职位招聘所需的技能相匹配。

通过运行数据保护影响评估(DPIA),ACME将能够识别与数据主体权利相关的本项目的主要风险。例如,在运行自动候选人匹配任务时,处理不正确或不准确的个人数据的风险有多大?如果申请人无法从招聘系统中修改个人数据,会对他们造成什么影响?

使用系统的DPIA方法,ACME将引发上述威胁,以及其他影响个人隐私权的威胁。ACME还将确定缓解这些威胁的程序和实践。例如,ACME可以要求应聘者验证从导入的外部概要文件导入的所有个人数据。为了确保随时间推移的准确性,ACME可以定期提醒应征者重新启动导入程序,或定期手动更改个人数据。

记录风险是如何解决的,以将对数据主体的伤害降至最低。例如,对于申请ACME工作的求职者来说,失去保密性可能是灾难性的。为了参与统计数据发布,ACME必须确保在将信息传输到第三方门户网站之前对申请人数据进行了适当的匿名化。

DPIA有多个步骤。下图显示了他们的简化概述:

DPIA将允许ACME展示其对隐私和数据保护风险的意识,以及他们在确保有效保护个人数据方面的承诺。通过实施其中确定的措施,ACME将为申请公司工作的候选人保护隐私和数据保护权利。ACME签署DPIA后,应定期审查其个人数据处理活动。它应同样确定程序,以监控其操作是否符合其隐私政策,同时确保符合欧盟GDPR和其他数据保护法律。

在本文件中,我们解释了如何利用SAP GRC套件进行DPIA,并支持个人数据的持续改进计划保护。图2给出了在SAP GRC中使用一些强大功能运行DPIA的路径,我们将在本文档的其余部分对此进行详细解释。

图2-使用SAP GRC套件功能实现有效的DPIA

本指南的读者应意识到,它无意成为执行数据保护影响评估的完整方法,但要概述SAP GRC风险管理解决方案中支持管理此类流程的功能。读者应参考法规要求,如欧盟GDPR[1]、数据保护机构发布的指南[2]或标准[3]。本文件的下一节解释了使用GRC套件准备DPIA的初始步骤。

为了满足欧盟GDPR或其他要求,您需要在主数据工作中心创建一个关于您的组织层级的新法规→法规和政策。如下图所示,您可以根据需要输入任意多个特定于法规的要求。

您可以根据自己的喜好分组构建法规。更重要的是,您需要定义组织需要满足的法规要求。下图显示了其中一个。备注:欧盟GDPR和其他数据保护法律的全文中有许多其他要求在贵公司运营的国家有效。

为了进行有意义的风险评估,我们必须允许将本地控制与风险模板相关联。为此,我们必须从"中心控制"开始,在"主数据工作中心"下,选择层次结构中的目标组织,然后单击"打开"。在"子流程"选项卡中,可以维护与给定规则相关的中央控制定义。图4中的屏幕截图显示了一些与欧盟GDRP和DPIA相关的子流程示例,在ACME的这种情况下。

图4-欧盟GDPR的中央控制和相关子流程示例

中央控制具有许多功能。其中之一是允许系统的风险缓解方法。

为了精确地配置它们,打开所选控件以显示下图所示的屏幕。匿名化,如图5所示,是ACME用例的重要保障。如果实施得当,可大大减少个人数据泄漏[4]。

图5-中央控制定义示例

请注意,中央控制的一些重要特征是:目的、控制自动化、控制类别、控制相关性,

按照图1中建议的顺序,结合中央控制,ACME的另一个有用资源是在SAP风险管理中设置响应目录。目录中的项目可以帮助团队选择适当的风险应对措施。例如,OWASP十大隐私风险项目[5]提出了一些增强隐私的措施。下图中列出了一些风险模板。

图6-GRC RM中隐私增强响应目录示例

  • <strong>云存储_佛山顺德网站建设_超低折扣</strong> 云存储_佛山顺德网站建设_超低折扣

    您是否有过这样的问题:是否可以将事务FBL5N(客户行项目显示)移植到Webdynpro?不?你真幸运!重建FBL5N不是我最喜欢做的5件事,所以当我得到这个问题时,我很不愿意开始。幸运的...

  • <strong>云主机_获取服务器地址_促销</strong> 云主机_获取服务器地址_促销

    到目前为止,我们已经创建了两个应用程序。一个用于维护员工特定的奖金计划,另一个用于授予员工奖金。到目前为止,奖金仅取决于已完成销售订单的净额。 任务:在自定义业务...

  • <strong>天翼云_免费虚拟主机管理系统_免费6个月</strong> 天翼云_免费虚拟主机管理系统_免费6个月

    任务:在标准业务对象上创建自定义字段。 示例:要计算与产品相关的奖金,标准业务对象"产品"将获得奖金百分比的自定义字段 要能够打开并调整"管理产品主数据"应用程序的UI您的...

  • <strong>阿里云_美橙互联云主机_怎么样</strong> 阿里云_美橙互联云主机_怎么样

    任务:在标准业务对象上创建自定义字段。 示例:要计算与产品相关的奖金,标准业务对象"产品"将获得奖金有效期的自定义字段。 要适应"管理产品主数据"应用程序的UI,您的用户需...

  • <strong>香港服务器_数据库上机实验_速度快</strong> 香港服务器_数据库上机实验_速度快

    到目前为止,我们已经创建了两个应用程序。一个是维护员工特定的奖金计划,另一个是为员工发放奖金。到目前为止,奖金权利仅取决于已完成销售订单的净额,但在奖金计划中,...

  • <strong>域名备案_数据库文本类型_新注册优惠</strong> 域名备案_数据库文本类型_新注册优惠

    各位开发人员好, 这里我要写一个关于sapui5的有趣话题。根据状态更改sap.m.表的整行颜色。通常我们在状态字段中保留一个文本,并根据状态更改文本的颜色。但是,现在客户问这个...

  • <strong>专属服务器_数据库显示正在还原_企业级</strong> 专属服务器_数据库显示正在还原_企业级

    多年来,SAP客户一直有机会要求对SAP功能进行更改,并就所提供的软件解决方案提出改进建议。 以前我们有开发要求,如今,这已被客户的影响力所取代项目该项目的主要目的是收集...

  • <strong>CDN_合肥建设网站_新用户</strong> CDN_合肥建设网站_新用户

    我写这个博客是为了展示一个场景,向 添加一个自定义标题sap.ui.unified.Shell控件。 统一的Shell控件不直接提供标题财产。还有外壳被分成几个区域,比如左边的菜单按钮,搜索栏位于...

  • <strong>香港服务器_中国近代报刊数据库_安全稳</strong> 香港服务器_中国近代报刊数据库_安全稳

    大家好, 我正在使用企业门户7.5版。 在使用自定义splash映像时,我在使用显示规则中配置的AJAX框架页面登录门户时遇到了splash映像的外观问题。 在我的情况下,Splash图像垂直向下显...