x

【首席隐私官】律师事务所首席隐私官备注:CPO与CISO

cioctocdo
16 October 2022
SEO Title
Notes From A Law Firm Chief Privacy Officer: CPO vs. CISO

文章分类

首席隐私官的职位现在是21世纪律师事务所良好风险管理的重要组成部分。

在任何规模的律师事务所中,电子数据的安全和隐私都是一个多层次的问题。也许与其他行业相比,我们律师经常被委托处理客户的敏感数据。除此之外,我们的执业许可证还具有道德要求,即我们确保通信和工作产品的机密性。当然,与任何企业一样,律师事务所也有员工数据,包括医疗保健相关信息,必须加以保护。

哦,还有一件事:我们在打仗。网络恐怖主义是现实。律师事务所是首要目标,在任何事务所的战略规划中都必须考虑防范这些威胁。

因此,律师事务所越来越认识到需要设立首席隐私官(CPO)职位,这一职位通常与总顾问办公室或事务所风险管理团队相邻或部分相邻。

为了理解CPO的角色,以及为什么这个人应该是律师,重要的是要将他们所扮演的角色与首席信息安全官或CISO区分开来,CISO通常是非律师,领导公司的信息技术部门。

CPO与CISO的角色

通常,CISO负责信息技术资源的操作安全、基础设施安全和员工访问管理。换言之,CISO负责确保公司的电子数据得到充分保护。CISO通常是IT部门的一部分,很少解决IT领域之外出现的问题。

CPO的角色有很大不同,首先是因为CPO关注整个公司的电子和物理数据、政策和程序。CPO的主要责任是向公司建议可以收集哪些数据,如何使用这些数据,数据应该存储在哪里,存储多长时间,以及何时可以或必须销毁这些数据。

律师事务所通常会在各种情况下收集和存储客户数据,例如诉讼中的发现或公司交易中的尽职调查过程,仅举两例。通常,对其中一些数据的高度敏感性质考虑不够,特别是当它具有识别个人和揭示财务或医疗相关事项的潜力时。

CPO的任务是解决这个问题,首先制定政策,然后通过员工培训和律师教育确保政策得到遵守。

优先事项推动决策

CISO(希望预算自由裁量权购买产品和服务以使数据更安全)和首席信息/技术/财务/执行官(抵制可能看起来在追逐鬼魂的支出)之间可能会出现紧张关系。换言之,如果首席信息/技术官为预算辩护,则可能会忽略CISO可能会推动的安全举措。

因此,拥有CISO会产生一种可能不存在的声音。然而,CISO通常仍会对首席信息/技术官负责,后者仍可能否决这些建议的倡议。

相比之下,CPO没有这样的冲突。虽然CPO可能面临其他障碍,但他们将重点放在整个业务上,他们关于电子和物理数据处理的建议或要求不是以竞争技术为前提,而是以最终结果为前提。也许有一些方法可以更便宜地达到最终结果,但最终结果必须实现。

理想情况下,CISO和CPO之间应该很少存在紧张关系。他们每个人都希望得到相同的结果,并且可以就达到目的的方法达成一致。不幸的是,这个完美的场景更容易梦想而不是实现。

例如,CISO经常戴着许多帽子。在某种程度上对用户体验负责,他们可能会因为给用户带来不便而选择牺牲安全措施。同样,在首席信息/技术干事的预算优先事项范围内工作时,他们可能会感到在充分推行某些安全措施方面受到限制。

没有正确背景的CPO可能会阻碍CISO的程序和义务。不懂技术的CPO几乎没有机会在电子数据方面与CISO成功合作。理解如何实现既定目标的脱节将带来操作挑战。例如,如果数据必须加密,CPO必须了解该数据的不同状态,以及每个状态下加密的操作优势和挑战。

同样,如果CPO还不具备理解系统和技术的坚实基础,CISO如果不被说服,也会很想提出某些选择或确定某些保护方面的差距。换句话说,为了充分完成这项工作,CPO必须具备足够的技术熟练度,以便与CISO合作。

CPO参与企业数据安全解决方案的选择至关重要。这种参与最迟应该从比较正在考虑的任何产品的优缺点开始。可以说,CPO应该在早期阶段参与,以确保不会因为不可接受的原因而排除优秀的解决方案。

同样重要的是,CPO将从业务范围的角度审视任何潜在的数据安全解决方案,并评估特定的解决方案是否能够解决所有五个问题——收集、销毁、处理、限制和存储要求。独立行事的CISO可能只关注解决方案的安全性,而不考虑业务的其他要求。

CPO应该成为律师

考虑到CPO负责的法律方面,有一个令人信服的论点,即该职位应由律师担任,并且该职位必须通过设计与公司的总顾问办公室紧密联系

CPO的一个作用是协调对数据泄露或丢失的任何响应,并在数据可能被泄露时指导所采取的行动。应采取特别措施,确保这些内部努力和调查不被律师-客户特权泄露给他人。应优先采取适当步骤,确保建立和维护律师-客户特权。

最后,如果一家企业也有一名个人负责不限于电子信息的企业安全(例如,信息安全经理),建议不要让该个人在it部门工作。首先,此人负责企业范围的安全,而不仅仅是电子数据。第二,个人不应该感受到IT部门可能产生的压力和限制。最后,通过将该个人安置在总顾问办公室,律师-客户特权得到了更充分的解决。

结论

律师事务所不能依赖其IT部门的技术专业知识来制定政策和战略,以充分解决数据安全和隐私保护固有的风险。重要的是,在首席执行官席上再安排一个席位,并由一位拥有必要经验和培训的律师填补这个席位,以领导公司找到安全和明智的解决方案。

本文:https://cioctocdo.com/notes-law-firm-chief-privacy-officer-cpo-vs-ciso

文章链接
https://cpo.work/notes-law-firm-chief-privacy-officer-cpo-vs-ciso

标签