Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Директор по конфиденциальности (CPO) - это высший руководитель во все большем числе глобальных корпораций, государственных агентств и других организаций, отвечающий за управление рисками, связанными с законами и постановлениями о конфиденциальности информации . [1] Варианты роли часто носят названия, такие как «Сотрудник по вопросам конфиденциальности», «Руководитель отдела конфиденциальности» и «Советник по вопросам конфиденциальности». [2] Однако роль CPO значительно отличается от другой роли с аналогичным названием, сотрудника по защите данных (DPO), роль которого возложена на некоторые организации в соответствии с GDPR , и эти две роли не следует путать или смешивать. [3] [4]

Роль CPO была ответом на растущую «(c) обеспокоенность потребителей по поводу использования личной информации, включая медицинские данные и финансовую информацию, наряду с законами и постановлениями». [5] В частности, расширение Закона о конфиденциальности информации и новых нормативных актов, регулирующих сбор и использование личной информации, таких как Общий регламент Европейского Союза о защите данных (GDPR), повысило популярность и увеличило частоту присутствия высшего руководителя как лидер в области соблюдения требований, связанных с конфиденциальностью. [6] Кроме того, некоторые законы и постановления (например, Правило безопасности HIPAA) требуют, чтобы определенные организации в рамках их нормативной области назначили руководителя по соблюдению конфиденциальности. [7] [8]

История [ править ]

В Соединенных Штатах должность директора по конфиденциальности была впервые создана в компании Acxiom, занимающейся маркетингом баз данных потребителей, в 1991 году с назначением Дженнифер Барретт директором по маркетингу . [9] Роль действовала в безвестности до августа 1999 года, когда компания AllAdvantage, занимающаяся рекламными технологиями в Интернете, назначила юриста по вопросам конфиденциальности Рэя Эверетта на роль первого представителя этой роли в эпоху Интернета. [10] Это положило начало тенденции, которая быстро распространилась среди крупных корпораций как офлайн, так и онлайн. [11] [12] Роль директора по вопросам конфиденциальности в корпоративном мире США укрепилась в ноябре 2000 г. с назначением Харриет Пирсон на должность директора по конфиденциальности дляКорпорация IBM . Это событие побудило одного влиятельного аналитика заявить: «Директор по конфиденциальности - это тенденция, время которой пришло». [13]

К 2001 году некоммерческая исследовательская организация Privacy and American Business сообщила, что значительное количество фирм из списка Fortune 500 назначили руководителей высшего звена с должностью или ролью директора по конфиденциальности. [14] [15] Росту тенденции к руководству по вопросам конфиденциальности способствовало принятие Европейским союзом в конце 1990-х годов законов и постановлений о конфиденциальности данных, которые включали требование для всех корпораций иметь лицо, ответственное за соблюдение конфиденциальности. . [6] [16]

К 2002 году должность главного сотрудника по вопросам конфиденциальности и аналогичные руководящие должности, связанные с конфиденциальностью, были достаточно широко распространены, чтобы поддержать создание профессиональных обществ и торговых ассоциаций для продвижения программ обучения и сертификации. В 2002 году крупнейшая из этих организаций, Ассоциация сотрудников по вопросам конфиденциальности и Ассоциация сотрудников по корпоративной конфиденциальности, объединились в Международную ассоциацию сотрудников по вопросам конфиденциальности, которая позже была переименована в Международную ассоциацию специалистов по конфиденциальности (IAPP). [17] IAPP ежегодно проводит несколько конференций и обучающих семинаров по всему миру, принимая членов ассоциаций из крупных глобальных корпораций и государственных учреждений, а также руководителей, желающих получить программы сертификации по методам управления конфиденциальностью. [6]По сообщениям, в 2019 году у него было более 50 000 членов [18] по всему миру, что его руководство объясняло такими законами, как GDPR. [19]

Обязанности и обязанности [ править ]

Как руководитель программы корпоративной конфиденциальности, CPO имеет ряд важных обязанностей [20], в том числе:

  • Управление политиками, процедурами и данными компании.
  • Повышение осведомленности сотрудников о конфиденциальности и обучение сотрудников
  • Ведущее реагирование на инциденты, включая готовность к утечке данных
  • Информирование о целях и ценностях конфиденциальности как внутри компании, так и за ее пределами
  • Разработка средств управления соблюдением конфиденциальности
  • Оценка рисков, связанных с конфиденциальностью, связанных с существующими продуктами и услугами
  • Проведение оценок воздействия на конфиденциальность для выявления рисков в новых или измененных видах деятельности
  • Мониторинг эффективности мер по снижению рисков, связанных с конфиденциальностью, и соблюдению нормативных требований

Многие из этих действий и требований включены в должностные инструкции CPO. [21] [22]

Эта роль требует прочных отношений сотрудничества [23] с другими заинтересованными сторонами в организации, включая инженеров и менеджеров по продуктам [24] (для воздействия на конфиденциальность продуктов и услуг), человеческих ресурсов [25] (для воздействия на конфиденциальность данных сотрудников), юридических групп. [26] (для мониторинга и толкования применимых законов и мер соответствия), управления закупками и поставщиками [27], а также групп по информационным технологиям и информационной безопасности. [28]

Взаимодействие с другими старшими ролями [ править ]

По мере того, как организации выявляют потребность в CPO, часто возникает проблема с размещением роли в структуре организации и проблема совпадения между схожими ролями «высшего уровня» [29], в первую очередь из-за множества пересечений между ролями CPO и директор по информационной безопасности (CISO). [30] [31]В то время как CPO и CISO частично перекрывают обязанности в области защиты данных и управления данными, в конечном итоге конфиденциальность и безопасность играют разные роли. Например, в то время как CPO и CISO могут быть озабочены предотвращением утечки данных, ответственность за управление техническими мерами предотвращения будет, как правило, возлагаться на CISO, в то время как CPO будет более широко рассматривать вопрос о том, используются ли в других отношениях должным образом защищенные данные. что может подвергнуть компанию правовому, нормативному или репутационному риску. [32]

Еще одна область потенциального совпадения, а иногда и путаницы, - это взаимодействие между CPO и все более распространенной ролью Data Protection Officer (DPO). Роль DPO особенно необходима для определенных организаций, подпадающих под юрисдикцию GDPR ЕС . [33] У DPO есть очень специфические роли, требования и ожидания, изложенные в статье 39 GDPR и связанном с ним нормативном руководстве, и они включают уровень необходимой независимости и организационное разделение, что сильно отличает их от CPO. [4]

Квалификация и опыт [ править ]

В то время как ряд CPO имеют юридическое образование и имеют степень доктора юридических наук (или эквивалентную), роль CPO является многопрофильной. Эта роль требует от руководителя понимания того, как сбор и использование данных, а также связанные с этим риски влияют на повседневные бизнес-операции организации. [34] CPO также должны быть осведомлены о ряде юридических, нормативных, договорных и других факторов, которые влияют на стратегию организации рисков для конфиденциальности. По этим причинам многие считают, что юридическое образование является обязательным условием для успешного CPO. [35] Другие считают, что юридическая база может привести к слишком узкой фокусировке [36], и CPO должны иметь больше, чем просто юридическую подготовку. [37]

Среди других квалификаций, которые считаются ценными в CPO, - сильные коммуникативные навыки, особенно в области связей с общественностью, потому что эта роль не только частично отвечает за разработку и выполнение стратегий работы с общественностью в случае утечки данных или других связанных с данными инцидента безопасности, CPO часто выступает в качестве лица по связям с общественностью организации. [38] [39] [40] КЗС также часто призывают действовать в качестве лоббистов, представляющих интересы организации перед законодателями. [41]От руководителей высшего звена также все чаще требуется иметь глубокие знания о методах работы и технологиях организации, связанных с данными, а также о взаимодействии между мерами соответствия, которые охватывают сферу конфиденциальности и безопасности. [42]

Профессиональная сертификация [ править ]

Все большее количество людей, ищущих карьеру в качестве CPO, будут стремиться пройти обучение по нескольким дисциплинам, связанным с этой областью. [43] Среди наиболее распространенных учетных данных, которые можно увидеть в космосе, можно отметить:

  • Сертифицированный специалист по конфиденциальности информации (CIPP) с региональной специализацией, такой как США, Канада, Европа и Азия [44] [45]
  • Сертифицированный менеджер по конфиденциальности информации (CIPM) [46] [45]
  • Сертифицированный технолог по конфиденциальности информации (CIPT) [47] [45]
  • Сертифицирован в области конфиденциальности и безопасности в сфере здравоохранения (CHPS) [48]
  • Сертификат соответствия требованиям конфиденциальности в сфере здравоохранения (CHPC) [49]
  • Сертифицированный специалист по безопасности информационных систем (CISSP) [50]

Зарплата [ править ]

Сложность роли и проблема поиска людей с правильным сочетанием навыков, образования и опыта отражаются в данных о заработной плате. По состоянию на 2019 год средняя заработная плата в должности CPO составляет 200000 долларов США во всем мире и более 212000 долларов США в США. [51] [52] По другим данным, в 2019 году медианная зарплата сотрудников общей службы конфиденциальности достигла 112 857 долларов. [53]

См. Также [ править ]

  • Директор по вопросам конфиденциальности, Министерство внутренней безопасности
  • Директор по конфиденциальности - Министерство образования США
  • Главный сотрудник по вопросам конфиденциальности и гражданских свобод - Министерство юстиции США
  • Управление конфиденциальности - Государственный департамент США
  • Офис конфиденциальности графства - Округ Санта-Клара, Калифорния (США)
  • Директор по конфиденциальности - Бюро финансовой защиты потребителей США
  • Государственный директор по вопросам конфиденциальности - Правительство Новой Зеландии
  • Сотрудник по вопросам конфиденциальности кампуса

Ссылки [ править ]

  1. ^ «Новая терминология конфиденциальности» . Нью-Йорк Таймс . Проверено 23 мая 2019 .
  2. ^ «Полный отчет: сравнительный анализ управления конфиденциальностью и инвестиций из списка Fortune 1000» . www.iapp.org . Проверено 23 мая 2019 .
  3. ^ Coseglia, Джаред (3 января 2019). "Coffee with Privacy Pros: DPO vs. CPO. Адвокат против Техника. Двойственность конфиденциальности" . Журнал CPO . Конфиденциальность данных Asia Pte. Ltd . Проверено 26 мая 2019 .
  4. ^ a b «Руководители по вопросам конфиденциальности могут не иметь права выполнять функции сотрудников по защите данных в соответствии с GDPR, - говорит эксперт» . Out-Law.com . ТОО «Пинсент Масоны». 7 сентября 2017 . Проверено 26 мая 2019 .
  5. ^ «Директор по конфиденциальности | DefineFinance» . www.definefinance.com . Проверено 31 октября 2015 .
  6. ^ a b c Титтель, Эд (6 июня 2018 г.). «Подготовка к сертификации GDPR: только несколько хороших вариантов» . Hewlett Packard Enterprise . Hewlett Packard Enterprise Development LP . Проверено 24 августа 2019 .
  7. ^ «Краткое изложение правила безопасности HIPAA» . Министерство здравоохранения и социальных служб США (HHS) . Проверено 25 мая 2019 .
  8. ^ «Обязанности сотрудника по конфиденциальности HIPAA» . Группа комплаенс . Проверено 24 мая 2019 .
  9. ^ «О IAPP - Дженнифер Барретт Глазго, CIPP / США» . IAPP.org . Дата обращения 23 мая 2019 .
  10. Дэн Тайнан (23 ноября 2012 г.). «Вопросы и ответы: пионер конфиденциальности Рэй Эверетт» . IT мир . IDG . Дата обращения 23 мая 2019 .
  11. ^ Жюстин Браун (30 мая 2014 г.). «Повышение директора по конфиденциальности» . Правительственные технологии . Дата обращения 23 мая 2019 .
  12. ^ Ульфельдер, Стив (2001-01-15). "О, нет, ни разу!" . Журнал CIO . Архивировано из оригинала на 2006-12-06 . Проверено 18 декабря 2006 .
  13. ^ «IBM назначает директора по конфиденциальности» . CNET.com . 2 января 2002 . Дата обращения 23 мая 2019 .
  14. Сандберг, Джаред (16 июля 2001 г.). «Сотрудник по вопросам конфиденциальности» . The Wall Street Journal . Dow Jones & Company Inc . Проверено 26 августа 2019 .
  15. Шварц, Джон (12 февраля 2001 г.). «Первая линия защиты; директора по вопросам конфиденциальности создают новые корпоративные роли» . Нью-Йорк Таймс . Компания "Нью-Йорк Таймс" . Проверено 26 августа 2019 .
  16. ^ «Международная ассоциация профессионалов в области конфиденциальности: руководство по карьере и сертификации» . Деловые новости Daily. 15 июня 2018 . Проверено 10 мая 2019 года .
  17. ^ Маселли, Дженнифер (25 августа 2003). «Группа конфиденциальности фокусируется на RFID» . RFID журнал . Изумруд Экспозиции, ООО . Проверено 18 августа 2019 . «Это актуальная тема», - говорит Шара Прибуток, администратор IAPP, который был недавно образован в результате слияния Ассоциации сотрудников по вопросам конфиденциальности и Ассоциации сотрудников по корпоративной конфиденциальности.
  18. ^ «50K участников: ориентир для IAPP и глобальной конфиденциальности» . IAPP.org . Международная ассоциация профессионалов в области конфиденциальности. 2 мая 2019 . Проверено 1 октября 2019 года . IAPP насчитывает 50 000 членов по всему миру.
  19. Хьюз, Дж. Тревор (25 мая 2018 г.). «GDPR, день 1: размышления о том, что, черт возьми, только что произошло» . IAPP.org . Международная ассоциация профессионалов в области конфиденциальности . Проверено 2 июня 2019 . Всего за две недели до крайнего срока GDPR мы превысили 40 000 участников в более чем 100 странах по всему миру.
  20. ^ Денсмор (редактор), Рассел (2019). Управление программой конфиденциальности (второе изд.). Международная ассоциация профессионалов в области конфиденциальности. ISBN 978-1-948771-24-5.CS1 maint: дополнительный текст: список авторов ( ссылка )
  21. ^ «Образец (главного) описания должности сотрудника по вопросам конфиденциальности» . Свод знаний AHIMA . АХИМА . Проверено 2 июня 2019 .
  22. ^ "Руководство по карьере директора по конфиденциальности" . Флорида Техник Интернет . Флоридский технологический институт . Проверено 2 июня 2019 .
  23. ^ «Директор по конфиденциальности» . Ethics.org . Инициатива по этике и соблюдению нормативных требований . Проверено 2 июня 2019 . Налаживайте прочные отношения сотрудничества с ключевыми партнерами из подразделений ИТ-безопасности, отдела кадров, закупок, юриспруденции, финансов, глобальной безопасности и бизнес-подразделений.
  24. Росс, Александра (29 сентября 2014 г.). «5 лучших качеств отличного директора по вопросам конфиденциальности (CPO)» . TrustArc . Проверено 2 июня 2019 . Практический опыт работы с технологиями и возможность видеть продукты и услуги компании через призму клиента, заботящегося о конфиденциальности, очень важны.
  25. ^ О'Коннор, Брайан; Йетс, Эми (1 августа 2009 г.). «Обзор текущих вопросов конфиденциальности HR» . IAPP.org . Международная ассоциация профессионалов в области конфиденциальности . Проверено 2 июня 2019 .
  26. ^ McCreary, Марк Г. (9 августа 2017). «Заметки директора юридической фирмы по вопросам конфиденциальности: CPO vs. CISO» . Фокс Ротшильд . Проверено 2 июня 2019 . [Эта] должность должна, по замыслу, иметь прочную связь с офисом главного юрисконсульта фирмы.
  27. ^ Меррик, Роберт; Райан, Сюзанна (1 апреля 2019 г.). «Управление конфиденциальностью данных в эпоху GDPR» . Журнал «Управление рисками» . ДИСКИ . Проверено 2 июня 2019 . ... в Канаде, США и Европе предприятия, которые делятся личной информацией с поставщиком, обязаны обеспечить наличие у поставщика соответствующих процессов безопасности для защиты этой информации.
  28. ^ Бассетт, Майк (февраль 2015 г.). "Итак, вы хотите быть сотрудником по вопросам конфиденциальности?" . Для журнала «Рекорд» . Vol. 21, № 2: Great Valley Publishing Co. Inc. стр. 24 . Проверено 2 июня 2019 . Должность сотрудника по вопросам конфиденциальности изменилась таким образом, что необходимо больше разбираться в мерах безопасностиCS1 maint: location (link)
  29. White, Сара К. (31 марта 2018 г.). «Пять причин, по которым вам нужно нанять директора по конфиденциальности (CPO)» . Журнал CIO . IDG Communications Inc . Проверено 2 июня 2019 . CPO помогает разработать стратегии защиты информации, позволяющей установить личность, от подобных инцидентов, и может полностью проинформировать высшее руководство по вопросам - как техническим, так и деловым, - которые могут возникнуть в результате взлома.
  30. Дэвис, Джессика (17 апреля 2019 г.). «CPO и CISO: растущие роли профессионалов в области конфиденциальности и безопасности» . ИТ-безопасность в области здравоохранения . Xtelligent Healthcare Media, LLC . Проверено 2 июня 2019 .
  31. ^ Gloeckle, Мэгги; Роял, К. (15 ноября 2017 г.). «CPO и CISO: растущие роли профессионалов в области конфиденциальности и безопасности» . ACCDocket.com . Ассоциация корпоративных консультантов . Проверено 2 июня 2019 .
  32. ^ Bergal, Jenni (21 августа 2018). «Все больше штатов назначают руководителей по вопросам конфиденциальности для защиты данных людей» . Журнал государственных технологий . е.Республика . Проверено 2 июня 2019 . И руководители по вопросам конфиденциальности не только справляются с внешними угрозами. Иногда нарушения происходят, когда государственные служащие непреднамеренно раскрывают данные, содержащие личную информацию, отправляют по электронной почте конфиденциальный документ в незащищенном формате или не хранят его в надежном месте.
  33. ^ «Офицеры по защите данных» . ico.org.uk . Офис Комиссара по информации Великобритании . Проверено 2 июня 2019 .
  34. Рианна Лоутон, Стивен (5 апреля 2018 г.). «Как нанять директора по конфиденциальности» . Журнал SC . Сенной Media Inc . Проверено 2 июня 2019 .
  35. Карсон, Анжелика (25 августа 2015 г.). «Выведет ли юридическая степень вашу карьеру в области конфиденциальности на новый уровень» . IAPP.org . Международная ассоциация профессионалов в области конфиденциальности . Проверено 2 июня 2019 . «В этой области есть действительно хорошие люди, у которых нет юридического образования [...] Но большинство высокопоставленных людей, как правило, имеют юридическое образование».
  36. ^ Кремер, Мэтью (25 апреля 2011). "Вашему агентству нужен главный специалист по конфиденциальности?" . Журнал AdAge . Crain Communications . Проверено 2 июня 2019 . "Если это юридическое лицо, которое собирается посещать встречи и пытается ограничить ответственность, это не совсем бесполезно, но я не думаю, что оно будет делать то, что нам действительно нужно, а именно общаться с нашей клиентской базой и получать наши образованная потребительская база ...
  37. Ng, Cindy (2 июня 2017 г.). «Интервью: д-р Энн Кавукян о конфиденциальности по дизайну» . Варонис . Проверено 2 июня 2019 . Вам нужен гораздо более широкий набор навыков, чем только закон. Так, например, я не юрист, и мне удалось быть уполномоченным [по вопросам конфиденциальности Онтарио] в течение трех сроков.
  38. Дэн Тайнан (23 ноября 2012 г.). «Вопросы и ответы: пионер конфиденциальности Рэй Эверетт» . IT мир . IDG . Дата обращения 23 мая 2019 .
  39. ^ Ульфельдер, Стив (2001-01-15). "О, нет, ни разу!" . Журнал CIO . Архивировано из оригинала на 2006-12-06 . Проверено 18 декабря 2006 . «Я танцую между тремя разными областями: юриспруденция / политика, маркетинг и технологии». -Рэй Эверетт-Черч, главный исполнительный директор и вице-президент по государственной политике AllAdvantage.com
  40. ^ Дитерле, Э.Дж. «Будущие роли: должен ли набор сотрудников на должность директора по конфиденциальности быть приоритетом?» . ДаПартнеры . Проверено 2 июня 2019 .
  41. Канг, Сесилия (24 апреля 2018 г.). «Facebook заменяет лоббистов в условиях нормативной проверки» . Нью-Йорк Таймс . Компания "Нью-Йорк Таймс" . Проверено 2 июня 2019 . Г-жа Иган, которая также является директором по конфиденциальности Facebook, в течение последних двух лет отвечала за лоббирование и отношения с правительством в качестве главы политики.
  42. ^ Simberkoff, Dana (11 декабря 2018). «Следует ли объединить роли главного сотрудника по вопросам конфиденциальности и главного сотрудника по информационной безопасности?» . CMS Wire . Simpler Media Group Inc . Проверено 2 июня 2019 .
  43. Ким, Ли (11 марта 2019 г.). «Мой путь к получению двух профессиональных сертификатов, CIPP и CISSP» . HIMSS . Проверено 2 июня 2019 .
  44. ^ «Сертифицированный специалист по конфиденциальности информации» . IAPP.org . Проверено 2 июня 2019 .
  45. ^ a b c «Является ли сертификация IAPP рассмотрением для ИТ-специалистов в области здравоохранения?» . USF Health Online . Университет Южной Флориды . Проверено 24 августа 2019 .
  46. ^ «Сертифицированный менеджер по конфиденциальности информации» . IAPP.org . Проверено 2 июня 2019 .
  47. ^ "Сертифицированный технолог по конфиденциальности информации" . IAPP.org . Проверено 2 июня 2019 .
  48. ^ «Сертифицировано в области конфиденциальности и безопасности в сфере здравоохранения» . АХИМА . Проверено 2 июня 2019 .
  49. ^ «Сертифицировано в соответствии с требованиями конфиденциальности в сфере здравоохранения» . Совет по сертификации соответствия . Проверено 2 июня 2019 .
  50. ^ "Сертифицированный специалист по безопасности информационных систем" . ISC2.org . Дата обращения 31 мая 2020 .
  51. ^ «Обзор заработной платы специалистов по конфиденциальности IAPP за 2019 г.» . IAPP.org . Дата обращения 23 мая 2019 .
  52. ^ Spiezio, Каролина (7 мая 2019). «Директорам по конфиденциальности США платят больше, чем коллегам из ЕС, они имеют более тесные связи с юридическими лицами» . Law.com . ООО «АЛМ Медиа Пропертис» . Проверено 24 августа 2019 . Согласно исследованию заработной платы специалистов по конфиденциальности, проведенному IAPP за 2019 год, средняя заработная плата американских CPO составляет 212000 долларов по сравнению с 185000 долларов в Великобритании и 142000 долларов в Европейском союзе. Мировая медианная зарплата CPO в 2019 году составляет 200000 долларов.
  53. ^ «Заработная плата сотрудника по вопросам конфиденциальности» . ziprecruiter.com . Дата обращения 23 мая 2019 .