Hvað endurskoðunaraðilar spyrja um PII-stýringar
GDPR og ISO 27001-endurskoðunaraðilar spyrja staðlaðrar spurningar. "Hvaða stýringar hafið þið fyrir PII-nafnleysi?"
Þeir vilja eitt skýrt svar. Ein stýring. Beitt á sama hátt í hvert skipti. Með skjölun og sönnun.
Hættuleg svarið hljómar svona: "Það fer eftir samhengi. Chrome Extension fyrir vafraleit. Word-fjölvi fyrir lagaleg skjöl. Python-skriftu fyrir runuskrár. Vefforritið fyrir brýnar beiðnir."
Það svar kveikir uppfyllingarspurningar. "Hverjar eru þekjubilurnar milli þessara verkfæra? Hvar er endurskoðunarslóðin?"
Brotaskipttur búnaður getur ekki svarað þessum spurningum. Þetta er samræmisvandamálið.
Vandinn við þekjusamræmi
Mismunandi PII-verkfæri nota mismunandi greininguaðferðir. Niðurstöður þeirra eru mismunandi — stundum töluvert.
Einungis regex-verkfæri leita að fastmyndum. SSN-snið. Tölvupóstsnið. Kreditkortasnið. Þau missa NER-undirstaða einingar. Nöfn einstaklinga og utan-USA-snið greinast ekki.
Einungis NER-verkfæri greina einingategundir með þjálfuðum líkönum. Þau missa mynsturundirstaða einingar. IBAN og sérsniðin auðkenni falla í gegn ef þau eru ekki í þjálfunargögnum.
Sérhvert verkfæri hefur mismunandi þekju eininga. Sérhvert verkfæri hefur mismunandi áreiðanleikamörk. Sama skjal í gegnum Verkfæri A og Verkfæri C gæti gefið mismunandi niðurstöður. STAÐFEST.
Þetta skapar beint samræmisgap. Verkfæri A er notað fyrir PDF. Verkfæri B er notað fyrir Excel. Verkfæri A greinir fæðingardagsetningar. Verkfæri B gerir það ekki. Fæðingardagsetning sömu manneskju er nafnlæg í PDF-skrám en afhjúpuð í Excel-skrám.
Gapið veltur á skrásniði — ekki á stefnu. Ekki á ásetningi.
Rannsóknarmenn DPA geta fundið þetta gap í rannsókn á broti. Verkfæraósamræmi verður þáttur í útsetningunni. STAÐFEST — GDPR-grein 32 krefst kerfisbundinna tæknilegra ráðstafana.
Vandinn við endurskoðunarslóðina
Samræmi krefst gagna um stöðuga notkun stýringa. Fyrir PII-nafnleysi eru þau gögn endurskoðunarslóðin.
Fjögur verkfæri framleiða fjögur mismunandi kladdaform. Sum framleiða engan kladda yfirhöfuð.
Word-fjölvi skapar engar endurskoðunarfærslur. Python-skrifta kann að skrifa í staðbundna skrá. Sú skrá er ekki tengd samræmiskerfinu þínu. Chrome Extension kann að skrifa vafrahliðarkladda. Þeir kladdar eru ekki aðgengilegir til samræmisyfirferðar.
Þegar DPA-rannsókn biður um endurskoðunargögn virkar eitt svar. Það er miðstýrt kladdi. Hann þekur allar nafnleysisvinnslu á öllum kerfum.
Hitt svarið virkar ekki. Kladdar á staðbundinni tölvu þróunarans úr Word-fjölva eru ekki fullnægjandi.
Ein-kerfi-vinnsla gerir eina endurskoðunarslóð mögulega. Brotaskiptur búnaður gerir það ómögulegt.
Fyrir nánari upplýsingar um kröfur endurskoðunarslóðar, sjá útskýrðar þekkjun og HIPAA-endurskoðunarslóðar.
Vandinn við stillingarflökt
Með tíma þróa mismunandi verkfæri mismunandi stillingar. Þetta gerist hægt og án viðvörunar.
Líttu á algengt mynstur. Chrome Extension er uppfærður með sérsniðnum einingategundum. Python-skriftan er ekki uppfærð. Word-fjölvið var sett upp af hópsmeðlim sem er svo farinn. Enginn þekkir núverandi stillingar. Vefforritstilgreiningur breytist til að útiloka verktakanöfn. Sú breyting nær aldrei til annarra verkfæra.
Að uppfæra eitt verkfæri án þess að uppfæra hin veldur flöktun. Með tíma veldur flöktun bilum.
ISO 27001-endurskoðunaraðilar biðja um stillingaskjölun. "Við höfum fjögur verkfæri, fjögur stillingar, og við erum ekki viss um að þær séu núverandi" er ekki gott svar. STAÐFEST — ISO/IEC 27001:2022 Viðauki A 8.11 (Gagnaþekktun) krefst skjaladrar, stöðugrar stýringar; ISO/IEC 27001:2022.
ISO 27001-niðurstaða í framkvæmd
15 manna samræmisfyrirtæki notaði fjögur verkfæri. Vefskrapa fyrir gögn á netinu. Windows-borðtæki fyrir runuskrár. Word-fjölvi fyrir lagaleg skjöl. Chrome Extension fyrir AI-verkfæri.
ISO 27001-úttekt framleiddi niðurstöðu. Mismunandi greininganiðurstöður á kerfum. Engin miðstýrð endurskoðunarslóð. Gap í Viðauka A 8.11. Stýringin var ekki sýnd sem stöðuglega beitt. STAÐFEST-UTANAÐKOMANDI — þetta samsvarar skjalfestum ISO 27001 Viðauka A 8.11 ósamræmismynstrum.
Niðurstaðan krafðist leiðréttingaráætlunar. Leiðréttingaraðgerðin var kerfaþétting.
Eftir þéttinguna hafði fyrirtækið einn greiningarvél á öllum fjórum kerfum. Sömu forsendur voru beitt í hverju samhengi. Öll vinnsla var skráð á einum stað. ISO 27001-niðurstaðan var lokið við næstu úttekt.
Verkefnið tók sex vikur. Það skipti 12 blaðsíðna leiðréttingarsvarir út fyrir lokna niðurstöðu.
Fyrir frekari upplýsingar um hvernig stöðug nafnleysi styður GDPR-endurskoðunarberedskap, sjá nafnleysissamræmi, forsendur og GDPR-úttektir.
Samræmisorðunarprófið
Geturu svarað þessum fjórum spurningum án hiks?
- Hvaða einingategundir greinast yfir hvert kerfi sem hópurinn þinn notar?
- Hvað er greiningarmörk fyrir hverja eininguategund, stöðuglega yfir öll kerfi?
- Hvar er miðstýrð endurskoðunarslóð fyrir allt nafnleysi á síðustu 12 mánuðum?
- Hvernig tryggir þú að stillingarbreytingar séu beitt yfir öll kerfi?
Ef einhver spurning veldur hiki er brotaskiptning að skapa samræmiáhættu.
Hreint svar við öllum fjórum spurningum er mögulegt. Það krefst einnar vél yfir öll kerfi. Án þess skapar hvert verkfæri sitt eigið þekjubil. Sína eigin endurskoðunarslóðarsíló. Sína eigna stillingarflöktun.
Endurskoðunaraðilar taka eftir þessum bilum. DPA-rannsakendur geta nýtt sér þá. Þétting fyrir endurskoðunarniðurstöðu er langt auðveldara en að gera það eftir hana.
Fyrir frekari upplýsingar um hvernig verkfærabrotaskiptning hefur áhrif á þverkerfa GDPR-stýringar, sjá GDPR-úttekt og PII-verkfærabrotaskiptning þvert á kerfi.