【本公众号原创,禁止复制或转载】
为满足新老学员在线学习的需求,特开设IAPP知识分享沙龙,帮助大家快速顺利通过IAPP考试。
其中 IAPP CIPM隐私管理体系知识分享沙龙(中文版考试冲刺)即将开班
时 间:9月28-29日
授课形式:上海线下或线上授课
课程安排:
CIPM 认证包括以下六个领域:制定隐私计划 (I)、隐私计划框架 (II)、隐私计划运营生命周期 – 评估 (III)、隐
私计划运营生命周期 - 保护 (IV)、隐私计划运营生命周期 - 维持 (V),以及隐私计划运营生命周期 - 响应 (VI)。
领域 I 为隐私计划奠定了坚实的基础,定义了隐私计划的制定、衡量和改进方法;
领域 II 侧重于组织隐私策略背景下隐私计划治理模型的管理和运营;
领域 III 详细说明了支持组织隐私制度评估或分析的重要组成部分;
领域 IV 概述了通过行业领先的隐私和安全控制措施与技术进行的资产保护;
领域 V 详细说明了通过沟通、培训和管理行动维持隐私计划的方式;以及
领域 VI 为隐私事件的响应所需信息奠定了坚实的基础。
课程咨询请联系:
向老师,13823096461
附:
CIPM (注册信息隐私经理)
知识体系 (BoK) 概述
版本 3.0,生效时间2022年2月24日
CIPM 认证包括以下六个领域: 制定隐私计划 (I)、
隐私计划框架 (II)、
隐私计划运营生命周期 – 评估 (III)、
隐 私计划运营生命周期 - 保护 (IV)、
隐私计划运营生命周期 - 维持 (V),
隐私计划运营生命周期 - 响应 (VI)。
领域 I 为隐私计划奠定了坚实的基础,定义了隐私计划的制定、衡量和改进方法;
领域 II 侧重于组织隐私策略背景下隐私计划治理模型的管理和运营;
领域 III 详细说明了支持组织隐私制度评估或分析的重要组成部分;
领域 IV 概述了通过行业领先的隐私和安全控制措施与技术进行的资产保护;
领域 V 详细说明了通过沟通、培训和管理行动维持隐私计划的方式;以及
领域 VI 为隐私事件的响应所需信息奠定了坚实的基础。
I. 制定隐私计划
A. 创建组织愿景
a. 评估既定目标
b. 就该愿景获得执行支持方批准
B. 建立数据治理模型
a. 集中式
b. 分布式
c. 混合式
C. 明确隐私计划
a. 明确计划范围和章程
b. 确定组织和适用法范围内的个人信息 (PI) 来源、类型和使用
c. 制定隐私战略
i. 业务认同
1. 完成隐私业务案例
2. 识别利益相关者
3. 充分利用关键职能
4. 创建组织内协作流程
5. 统一组织文化以及隐私/数据保护目标
ii. 为隐私和隐私团队获得资金/预算
iii. 开发用于处理个人信息的数据治理策略(例如,收集、使用、访问、共享、 传输、销毁)
iv. 确保计划灵活性,以整合法律/法规/市场/业务要求
D. 组建隐私团队
a. 根据组织规模,创建组织模型、职责和汇报路线(例如,首席隐私官、数据保护官 (DPO)、 隐私经理、隐私分析师、隐私大使、“第一响应人”)
b. 指定隐私问题联系人
c. 建立/批准专业能力衡量标准
E. 沟通
a. 从内外部建立对组织隐私计划的意识(例如,公共关系、企业沟通、人力资源部门)
b. 制定内外部沟通计划,确保组织责任感深入人心
c. 确保员工有权访问与其职责相关的政策、程序和更新内容
II. 隐私计划框架
A. 制定隐私计划框架
a. 制定组织隐私政策、程序、标准和/或指南
b. 明确隐私计划和活动
i. 教育和意识
ii. 监控和响应监管环境
iii. 监督内部隐私政策合规性
iv. 设计数据清单、数据流和数据分类,识别组织处理的个人数据
v. 风险评估(隐私影响评估 [PIA])(例如, DPIA 及其他)
vi. 事件响应过程,包括法律要求
vii. 补救措施监督管理
viii. 计划保证,包括审计
ix. 计划查询/投诉处理程序(客户、监管等)
B. 实施隐私计划框架
a. 与内外部利益相关者就该框架进行沟通
b. 确保始终符合适用法律法规要求,从而支持组织隐私计划框架的制定
i. 了解区域内的法律和/或法规(例如, GDPR、CCPA、LGPD)
ii. 了解部门及行业法律和/或法规(例如, HIPAA、GLBA)
iii. 了解针对违反法律法规行为的处罚
iv. 了解监管机构的范围和权限(例如,数据保护监管机构、隐私委员会、联邦贸易 委员会等)
v. 了解在隐私法不健全或未制定隐私法的国家开展业务的隐私影响
vi. 维持管理全球隐私职能的能力
vii. 维持追踪多个司法管辖区内隐私法变化的能力
c. 了解数据共享协议
i. 国际数据共享协议
ii. 供应商协议
iii. 关联方和子公司协议
C. 制定适当指标
a. 识别指标的目标受众
b. 明确报告资源
c. 明确基于各受众与监督和治理有关的隐私指标
i. 合规性指标(可能因组织而异)
1. 收集(声明)
2. 数据主体查询响应
3. 保留
4. 向第三方披露
5. 事件(泄露、投诉、查询)
6. 经过培训的员工
7. PIA/DPIA 指标
8. 隐私风险指标
9. 治理机制中公司职能代表的占比
ii. 趋势分析
iii. 隐私计划投资回报率 (ROI)
iv. 业务韧性指标
v. 隐私计划成熟度级别
vi. 资源利用率
d. 识别系统/应用程序收集点
III. 隐私运营生命周期:评估
A. 记录您的当前隐私计划的基准
a. 教育和意识
b. 监控和响应监管环境
c. 基于内外部要求评估制度遵从性
d. 数据、系统和流程评估
i. 映射数据清单、数据流、生命周期和系统集成
e. 风险评估方法
f. 事件管理、响应和补救
g. 确定所需的状态,按照所采用的标准或法律(包括 GDPR)开展差距分析
h. 计划保证,包括审计
B. 处理者和第三方供应商评估
a. 评估处理者和第三方供应商、内包和外包隐私风险,其中包括国际数据传输规则
i. 隐私和信息安全政策
ii. 访问控制
iii. 个人信息的保存位置
iv. 审查供应商内部对个人信息的使用并为其设限
b. 了解并使用不同类型的关系
i. 内部审计
ii. 信息安全
iii. 物理安全
iv. 数据保护监管机构
c. 风险评估
i. 外包数据类型
ii. 数据位置
iii. 部署的技术和处理方式(例如,云计算)
iv. 法律合规性
v. 记录保留
vi. 合同要求(事件响应等)
vii. 确定最低信息保护标准
viii. 跨境传输
d. 合同要求和审查流程
e. 持续监督和审计
C. 物理评估
a. 识别运营风险
i. 数据中心和办公场所
ii. 物理访问控制
iii. 文件保留和销毁
iv. 介质处理和销毁(例如,硬盘、 USB/便携存储设备等)
v. 设备取证
vi. 设备安全(例如,移动设备、物联网 (IoT)、地理位置追踪、镜像/复制硬盘的 安全)
D. 兼并、收购和资产剥离
a. 尽职调查程序
b. 审查合同及数据共享义务
c. 风险评估
d. 风险和控制一致性
e. 合并后规划和风险减缓
E. 隐私评估和文件制定
a. 关于系统、应用程序和流程的隐私阈值分析 (PTA)
b. 定义隐私评估流程(例如, PIA、DPIA、TIA、LIA)
i. 了解各类评估的生命周期
ii. 在系统、流程、数据生命周期中纳入隐私评估
IV. 隐私运营生命周期:保护
A. 信息安全实务
a. 物理和虚拟系统的访问控制
i. 最低特许访问(例如,知所必需)
ii. 账户管理(例如,赋权流程)
iii. 特权管理
b. 技术类安全控制(包括相关政策和程序)
c. 事件响应计划
B. 隐私保护设计 (PbD)
a. 将隐私融入系统开发生命周期 (SDLC)
b. 在系统开发框架中建立隐私卡点
c. 将隐私和业务流程整合
d. 与利益相关者沟通 PIA 和 PbD 的重要性
C. 将隐私要求和表述整合至组织职能领域(例如,信息安全、人力资源、营销、法律和合同、兼并、 收购和资产剥离)
D. 技术和组织措施
a. 量化技术和组织控制措施的成本
b. 根据组织政策要求管理数据保留
c. 明确物理和电子数据的销毁方法
d. 明确用于管理供内外部使用的数据共享和披露的职责和职能
e. 确定并实施二次使用指南(例如,研究等)
f. 基于法律和道德要求,制定关于组织数据处理(包括收集、使用、保留、披露和处置)的 相关政策
g. 实施恰当的管理保障措施,例如,政策、程序和合同
V. 隐私运营生命周期:维持
A. 监控
a. 环境(例如,系统、应用程序)监控
b. 监控隐私政策遵从性
c. 监控法律和立法变化
d. 遵从性监控(例如,收集、使用和保留)
i. 内部审计
ii. 自我监管
iii. 保留策略
iv. 退出策略
B. 审计
a. 按照内外部合规审计计划,调整隐私运营
i. 熟悉审计流程,维护“审计日志”
ii. 基于行业标准进行评估
iii. 使用并上报监管合规评估工具
b. 审计对隐私政策和标准的合规性
c. 审计数据完整性和质量,并就审计结果与利益相关者进行沟通
d. 审计信息的访问、修改和披露
e. 有针对性的员工、管理层和承包商培训
i. 隐私政策
ii. 运营隐私实务(例如,标准化运营指导),例如:
1. 数据的创建/使用/保留/处理
2. 访问控制
3. 报告事件
4. 主要联系人
VI. 隐私运营生命周期:响应
A. 数据主体信息请求和隐私权
a. 访问
b. 纠正
c. 更正
d. 管理数据完整性
e. 删除权
f. 知情权
g. 控制数据使用,包括拒绝处理
h. 投诉,包括文件审查
B. 隐私事件响应
a. 法律合规性
i. 预防伤害
ii. 收集限制
iii. 问责制
iv. 监督和执行
v. 强制报告
b. 事件响应计划
i. 了解关键职责和职能
1. 识别关键业务利益相关者
a) 信息安全部
b) 法务部
c) 合规负责人
d) 审计部
e) 人力资源部
f) 营销部
g) 业务发展部
h) 沟通和公共关系部
i) 外部相关方
2. 成立事件管理团队
3. 制定隐私事件响应计划
4. 识别隐私事件响应计划的要素
5. 将隐私事件响应整合至业务连续性计划中
c. 事件检测
i. 明确隐私事件的组成
ii. 识别报告流程
iii. 协调各检测职能部门
1. 企业 IT 部
2. 物理安全部
3. 人力资源部
4. 调查团队
5. 供应商
d. 事件处理
i. 了解关键职责和职能
ii. 进行风险评估
iii. 开展遏制活动
iv. 识别并实施补救措施
v. 制定沟通计划,以通知高级管理层
vi. 通知监管机构、受影响个人和/或相应的数据控制者
e. 遵循事件响应流程,确保符合法律要求、集团要求和业务要求
i. 组建隐私团队
ii. 审查事实
iii. 开展分析
iv. 确定相关措施(遏制、沟通等)
v. 执行
vi. 维护事件登记册以及相关事件管理记录
vii. 监控
viii. 审查并应用取得的经验教训
f. 识别可减少事件发生的技术
g. 事件指标 - 量化隐私事件成本
【EXIN DPO VS IAPP CIPP/E&CIPM]
IAPP CIPP/E 和 EXIN DPO知识内容对照,其中黄色框内的内容为二者重合知识
IAPP CIPM和 EXIN DPO知识内容对照,其中黄色框内的内容为二者重合知识
课程咨询请联系:
向老师,13823096461
(扫描上方直播二维码可听回放)
珠海山竹科技有限公司是国内知名的首家专注于DPO课程、隐私保护和数据合规课程的培训机构,致力于培养国内DPO专家和讲师、推动国内隐私和数据保护的相关立法和合规实践。目前培养了几百名DPO学员,授权讲师10名。2019年荣获EXIN 授权机构新锐奖,2021年和2022年荣获EXIN金牌授权机构。
2021年增设数据合规咨询服务业务,致力于打造国内首家跨律所、跨企业的集法律+IT+安全人员的综合性数据合规咨询平台。山竹科技数据合规团队为企业提供数据合规咨询评估和法律风险规避、体系落地建设、数据安全技术解决方案等综合性服务,资深项目团队均具有十多年世界500强或咨询公司的项目管理和实施经验。我们直接或间接辅导了多家企业的GDPR出海合规、ISO27001信息安全管理体系和ISO27701隐私保护管理体系的咨询及实施,已积累了跨境电商、出海企业、医疗、金融、汽车等行业的数据合规最佳实践。
http://www.mangosteen-zh.com 公众号:“山竹科技DPO学堂”
