多年来,合规要求法规一直是 IT 环境的一部分。欧盟的《通用数据保护条例》(GDPR)使合规性成为重要议题。GDPR 意味着,在欧洲开展业务或包含欧洲公民信息的美国公司将受到 PCI、HIPAA、《萨班斯-奥克斯利法案》和 GDPR 等法规的约束。
虽然大多数企业都会使用安全工具和技术来保护信息,但合规法规不会告诉你如何保护数据。它们定义了需要保护的内容以及如何审核数据保护。
定义合规性
合规是指组织需要确认他们已满足公认的实践、法律、法规和特定标准的要求。合规也可能是合同的一部分。合规是指遵守联邦、州和国际法律法规以及企业政策和程序,并证明其合规的行为。
遵守合规可以限制风险。风险管理由指导和控制企业的各项活动组成,使企业能够创造机会,同时限制负面事件的发生。合规是一种具有报告功能的示范。报告内容包括安全计划如何满足监管机构规定的特定安全标准。
安全性与合规性
有些组织认为安全与合规是同等重要的。他们可能会被复杂的法规所困扰,从而减少对安全的关注。它们扮演着不同的角色。数据是在企业内部还是在云中并不重要。法规是一样的。责任方可能不同。
网络安全通过控制信息的使用、消费和交付方式,保护数据免受威胁。合规性是安全计划如何满足特定监管安全标准的报告功能。仅仅合规并不能确保安全。不要将合规要求作为创建安全计划的蓝图。安全可为合规成功创造条件。
各业务部门的合规成本
文章 2023 年 GDPR 合规成本是多少?介绍了各行业与 GDPR 合规性相关的成本更新。请参阅下面的图形:
影响 GDPR 合规成本的一个主要因素是企业所参与的行业。Statista 的一份 报告 发现,金融时报证券交易所 100 指数 (FTSE) 100 家公司、银行在 GDPR 合规性方面的支出是第二接近的行业的三倍多。
合规性预算
合规成本更多地是由法律法规驱动的,而不一定是由企业提高安全性的需要驱动的。有联邦法规和州法规规定了合规性。所有这些法规和法律都需要对组织的合规性进行持续的监控和审计。合规成本可能是一项预算负担,不仅包括专门的专业人员、降低风险的技术,还包括法律和非法律人员的分配以及违规处罚。
典型的合规性工作包括也与安全相关的成本:
- 信息保护和包括执行这些保护制度的活动
- 规划事件响应和支持响应的团队
- 审计和评估合规活动
- 制定涵盖合规性的政策
- 向企业内部运营传达合规要求和法规并对这些人员进行培训
- 工作人员认证
- 修复和纠正处理合规性限制或差距的活动
- 投资保护资产的技术
报告还指出,合规成本随着员工和承包商人数的增加而增加。
不合规的成本
报告称,因不合规而产生的罚款是合规成本的 2.71 倍。这些包括:
- 扰乱商业活动
- 生产力下降
- 收入损失
- 不合规时的罚款、处罚和和解费用
- 客户/用户营销成本
- 声誉损失
- 合规顾问费
- 执行重新审核
GDPR 赋予监管机构最高 2000 万欧元或组织全球年收入 4% 的罚款/处罚的权力。处罚不仅包括罚款,还包括执法行动。受处罚的组织将在处理违规问题时受到监督。
DLA Piper 的2024 年GDPR 和数据泄露调查报告显示 GDPR 执法又创历史新高。自 2023 年 1 月 28 日起,欧洲当局共开出 19.4 亿美元的罚款。与上一年(2022 年)相比,增加了 14% 以上。较早罚款的一个例子是,万豪国际集团为 2020 年喜达屋酒店预订攻击支付了 2398 万美元的罚款。
审计
许多企业每年进行一次审计。进行的审计越多,审计成本就会增加,但它具有有益的价值,因为它可以降低合规性的总成本。建议每年进行两次审核。审计的另一个好处是,它重申了企业的合规目标,并提醒大家在合规和安全方面不应自满。
如需了解更多信息,请下载“通用数据保护条例 (GDPR) – 合规指南”。
原文:https://telecomreseller.com/2024/03/25/regulatory-gdpr-compliance-the-cost/
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/chuhai/45853.html