Директор по конфиденциальности - Chief privacy officer

В Директор по конфиденциальности (CPO) - руководитель высшего звена в растущем числе глобальных корпораций, государственных агентств и других организаций, ответственный за управление рисками, связанными с законы о конфиденциальности информации и правила.[1] Варианты роли часто носят названия, такие как «Сотрудник по вопросам конфиденциальности», «Руководитель отдела конфиденциальности» и «Советник по вопросам конфиденциальности». [2] Однако роль CPO значительно отличается от другой роли с таким же названием, Сотрудник по защите данных (DPO), роль, возложенная на некоторые организации в рамках GDPR, и эти две роли не следует путать или смешивать.[3][4]

Роль CPO была ответом на растущую «(c) обеспокоенность потребителей по поводу использования личной информации, включая медицинские данные и финансовую информацию, наряду с законами и постановлениями».[5] В частности, расширение Законы о конфиденциальности информации и новые правила, регулирующие сбор и использование личной информации, такие как Европейский Союз Общие правила защиты данных (GDPR), повысил популярность и увеличил частоту привлечения старшего руководителя в качестве лидера в усилиях по соблюдению требований, связанных с конфиденциальностью.[6] Кроме того, некоторые законы и постановления (например, Правило безопасности HIPAA ) требуют, чтобы определенные организации в рамках своей нормативной базы назначили руководителя по соблюдению конфиденциальности.[7][8]


История

В Соединенных Штатах должность главного сотрудника по вопросам конфиденциальности была впервые создана в компании по маркетингу баз данных потребителей. Acxiom в 1991 году с назначением Дженнифер Барретт на должность главного исполнительного директора.[9] Роль оставалась неизвестной до августа 1999 года, когда компания, занимающаяся рекламными технологиями в Интернете, AllAdvantage назначенный адвокат по вопросам конфиденциальности Рэй Эверетт к первому экземпляру роли в эпоху Интернета.[10] Это положило начало тенденции, которая быстро распространилась среди крупных корпораций как офлайн, так и онлайн.[11][12] Роль директора по конфиденциальности была укреплена в корпоративном мире США в ноябре 2000 года с назначением Харриет Пирсон на должность директора по конфиденциальности для Корпорация IBM. Это событие побудило одного влиятельного аналитика заявить: «Директор по конфиденциальности - это тенденция, время которой пришло». [13]

К 2001 году некоммерческая исследовательская организация Privacy and American Business сообщила, что значительное количество Fortune 500 фирмы назначили руководителей высшего звена на должность или должность директора по конфиденциальности.[14][15] Тенденция к росту числа руководителей по вопросам конфиденциальности была дополнительно усилена принятием Европейским союзом в конце 1990-х гг. конфиденциальность данных законы и нормативные акты, которые включали требование для всех корпораций иметь лицо, ответственное за соблюдение конфиденциальности.[6][16]

К 2002 году должность главного сотрудника по вопросам конфиденциальности и аналогичные руководящие должности, связанные с конфиденциальностью, были достаточно широко распространены, чтобы поддержать создание профессиональных обществ и торговых ассоциаций для продвижения программ обучения и сертификации. В 2002 году крупнейшая из этих организаций, Ассоциация сотрудников по вопросам конфиденциальности и Ассоциация сотрудников по корпоративной конфиденциальности, объединились в Международную ассоциацию сотрудников по вопросам конфиденциальности, которая позже была переименована в Международная ассоциация профессионалов в области конфиденциальности (IAPP).[17] Ежегодно IAPP проводит несколько конференций и учебных семинаров по всему миру, принимая членов ассоциаций из крупных глобальных корпораций и государственных учреждений, а также руководителей, желающих получить программы сертификации в области управления конфиденциальностью.[6] Сообщается, что в 2019 году в нем было более 50000 участников.[18] во всем мире, что его руководство объяснило такими законами, как GDPR.[19]

Обязанности и обязанности

Как руководитель программы корпоративной конфиденциальности, CPO имеет ряд важных обязанностей:[20] в том числе:

  • Управление политиками, процедурами и данными компании
  • Повышение осведомленности сотрудников в вопросах конфиденциальности и обучение сотрудников
  • Ведущее реагирование на инциденты, включая готовность к утечке данных
  • Информирование о целях и ценностях конфиденциальности как внутри компании, так и за ее пределами
  • Разработка средств управления соблюдением конфиденциальности
  • Оценка рисков, связанных с конфиденциальностью, связанных с существующими продуктами и услугами
  • Проведение оценок воздействия на конфиденциальность для выявления рисков в новых или измененных видах деятельности
  • Мониторинг эффективности мер по снижению рисков, связанных с конфиденциальностью, и соблюдению нормативных требований

Многие из этих действий и требований включены в должностные инструкции CPO.[21][22]

Роль требует прочных отношений сотрудничества[23] с другими заинтересованными сторонами в организации, включая инженеров и менеджеров по продукции[24] (для воздействия на конфиденциальность продуктов и услуг), человеческие ресурсы[25] (за нарушение конфиденциальности данных сотрудников), юридические группы[26] (для мониторинга и толкования применимого законодательства и мер соответствия), управления закупками и поставщиками,[27] группы по информационным технологиям и информационной безопасности.[28]

Взаимодействие с другими старшими ролями

По мере того, как организации выявляют необходимость в CPO, часто возникает проблема в отношении размещения роли в структуре организации и проблема перекрытия между схожими ролями «высшего уровня»,[29] прежде всего, многочисленные пересечения между ролями CPO и Директор по информационной безопасности (CISO).[30][31] В то время как CPO и CISO частично перекрывают обязанности в области защиты данных и управления данными, в конечном итоге конфиденциальность и безопасность играют разные роли. Например, в то время как CPO и CISO могут быть озабочены предотвращением утечки данных, ответственность за управление техническими мерами предотвращения будет, как правило, возлагаться на CISO, в то время как CPO будет более широко рассматривать вопрос о том, используются ли в других отношениях должным образом защищенные данные. что может подвергнуть компанию правовому, нормативному или репутационному риску.[32]

Еще одна область потенциального совпадения, а иногда и путаницы, - это взаимодействие между CPO и все более распространенной ролью Сотрудник по защите данных (ДПО). Роль DPO особенно требуется для определенных организаций, подпадающих под юрисдикцию ЕС GDPR.[33] У DPO очень специфические роли, требования и ожидания, изложенные в статье 39 GDPR и соответствующем нормативном руководстве, и они включают необходимый уровень независимости и организационное разделение, что сильно отличает их от CPO.[34]

Квалификация и опыт

В то время как ряд CPO имеют юридическое образование и имеют доктор юридических наук (или эквивалентные степени) роль CPO является междисциплинарной. Эта роль требует от руководителя понимания того, как сбор и использование данных, а также связанные с этим риски влияют на повседневные бизнес-операции организации.[35] CPO также должны быть осведомлены о ряде юридических, нормативных, договорных и других факторов, которые влияют на стратегию организации рисков для конфиденциальности. По этим причинам многие считают, что юридическое образование является обязательным условием успешного CPO.[36] Другие считают, что юридический опыт может привести к слишком узкому фокусу[37] и CPO должны иметь больше, чем просто юридическое образование.[38]

Среди других квалификаций, которые считаются ценными в CPO, - сильные коммуникативные навыки, особенно в области связей с общественностью, поскольку эта роль не только частично отвечает за разработку и выполнение стратегий работы с общественностью в случае утечки данных или других связанных с данными инцидента безопасности, CPO часто выступает в роли лица по связям с общественностью организации.[39][40][41] CPO также часто призваны выполнять функции лоббист представление интересов организации перед законодателями.[42] От руководителей высшего звена также все чаще требуется иметь глубокие знания о методах работы и технологиях организации, связанных с данными, а также о взаимодействии между мерами соответствия, которые охватывают сферы конфиденциальности и безопасности.[43]

Профессиональная сертификация

Все большее число людей, ищущих карьеру в качестве CPO, будут стремиться пройти обучение по нескольким дисциплинам, связанным с этой областью.[44] Среди наиболее распространенных учетных данных, которые можно увидеть в космосе, можно выделить:

  • Сертифицированный специалист по конфиденциальности информации (CIPP) с региональной специализацией, такой как США, Канада, Европа и Азия[45][46]
  • Сертифицированный менеджер по конфиденциальности информации (CIPM)[47][46]
  • Сертифицированный технолог по конфиденциальности информации (CIPT)[48][46]
  • Сертифицирован в области конфиденциальности и безопасности в сфере здравоохранения (CHPS)[49]
  • Сертифицирован в соответствии с требованиями конфиденциальности в сфере здравоохранения (CHPC)[50]
  • Сертифицированный специалист по безопасности информационных систем (CISSP)[51]

Зарплата

Сложность роли и проблема поиска людей с правильным сочетанием навыков, образования и опыта отражаются в данных о заработной плате. По состоянию на 2019 год средняя зарплата в должности CPO составляет 200000 долларов США во всем мире и более 212000 долларов США в США.[52][53] По другим данным, в 2019 году медианная заработная плата сотрудников общей службы конфиденциальности достигла 112 857 долларов.[54]

Смотрите также

использованная литература

  1. ^ «Новая терминология конфиденциальности». Нью-Йорк Таймс. Получено 2019-05-23.
  2. ^ «Полный отчет: сравнительный анализ управления конфиденциальностью и инвестиций из списка Fortune 1000». www.iapp.org. Получено 2019-05-23.
  3. ^ Козелья, Джаред (3 января 2019 г.). "Coffee with Privacy Pros: DPO vs. CPO. Юрист vs. Техник. Двойственность конфиденциальности". Журнал CPO. Конфиденциальность данных Asia Pte. ООО. Получено 26 мая 2019.
  4. ^ «Руководители по вопросам конфиденциальности могут не иметь права выполнять функции сотрудников по защите данных в соответствии с GDPR, - говорит эксперт».. Out-Law.com. ТОО «Пинсент Масоны». 7 сентября 2017 г.. Получено 26 мая 2019.
  5. ^ "Директор по конфиденциальности | DefineFinance". www.definefinance.com. Получено 2015-10-31.
  6. ^ а б c Титтель, Эд (6 июня 2018 г.). «Подготовка к сертификации GDPR: только несколько хороших вариантов». Hewlett Packard Enterprise. Hewlett Packard Enterprise Development LP. Получено 24 августа 2019.
  7. ^ «Краткое изложение правила безопасности HIPAA». Министерство здравоохранения и социальных служб США (HHS). Получено 25 мая 2019.
  8. ^ «Обязанности сотрудника по конфиденциальности HIPAA». Группа соответствия. Получено 24 мая 2019.
  9. ^ «О IAPP - Дженнифер Барретт, Глазго, CIPP / США». IAPP.org. Получено 23 мая 2019.
  10. ^ Дэн Тайнан (23 ноября 2012 г.). «Вопросы и ответы: пионер конфиденциальности Рэй Эверетт». IT мир. IDG. Получено 23 мая 2019.
  11. ^ Жюстин Браун (30 мая 2014 г.). «Повышение директора по конфиденциальности». Правительственные технологии. Получено 23 мая 2019.
  12. ^ Ульфельдер, Стив (15 января 2001). "О, нет, ни разу!". Журнал CIO. Архивировано из оригинал на 2006-12-06. Получено 2006-12-18.
  13. ^ «IBM назначает директора по конфиденциальности». CNET.com. 2 января 2002 г.. Получено 23 мая 2019.
  14. ^ Сандберг, Джаред (16 июля 2001 г.). "Сотрудник по вопросам конфиденциальности". Журнал "Уолл Стрит. Dow Jones & Company Inc.. Получено 26 августа 2019.
  15. ^ Шварц, Джон (12 февраля 2001 г.). «Первая линия защиты; директора по вопросам конфиденциальности создают новые корпоративные роли». Нью-Йорк Таймс. Компания New York Times. Получено 26 августа 2019.
  16. ^ «Международная ассоциация профессионалов в области конфиденциальности: руководство по карьере и сертификации». Деловые новости Daily. 15 июня 2018 г.. Получено 10 мая, 2019.
  17. ^ Маселли, Дженнифер (25 августа 2003 г.). "Privacy Group фокусируется на RFID". RFID журнал. Изумруд Экспозиции, ООО. Получено 18 августа 2019. «Это актуальная тема», - говорит Шара Прибуток, администратор IAPP, который был недавно образован в результате слияния Ассоциации сотрудников по вопросам конфиденциальности и Ассоциации сотрудников по корпоративной конфиденциальности.
  18. ^ «50 тысяч участников: ориентир для IAPP и глобальной конфиденциальности». IAPP.org. Международная ассоциация профессионалов в области конфиденциальности. 2 мая 2019. Получено 1 октября 2019. IAPP насчитывает 50 000 членов по всему миру.
  19. ^ Хьюз, Дж. Тревор (25 мая 2018 г.). «GDPR, день 1: размышления о том, что, черт возьми, только что произошло». IAPP.org. Международная ассоциация профессионалов в области конфиденциальности. Получено 2 июн 2019. Всего за две недели до крайнего срока GDPR мы превысили 40 000 участников в более чем 100 странах по всему миру.
  20. ^ Денсмор (редактор), Рассел (2019). Управление программой конфиденциальности (Второе изд.). Международная ассоциация профессионалов в области конфиденциальности. ISBN  978-1-948771-24-5.CS1 maint: дополнительный текст: список авторов (ссылка на сайт)
  21. ^ «Образец описания работы (главного) сотрудника по вопросам конфиденциальности». Свод знаний AHIMA. АХИМА. Получено 2 июн 2019.
  22. ^ "Руководство по карьере главного сотрудника по вопросам конфиденциальности". Florida Tech Online. Флоридский технологический институт. Получено 2 июн 2019.
  23. ^ «Директор по конфиденциальности». Ethics.org. Инициатива по этике и комплаенсу. Получено 2 июн 2019. Постройте прочные отношения сотрудничества с ключевыми партнерами из подразделений ИТ-безопасности, отдела кадров, закупок, юриспруденции, финансов, глобальной безопасности и бизнес-подразделений.
  24. ^ Росс, Александра (29 сентября 2014 г.). "5 лучших качеств отличного директора по конфиденциальности (CPO)". TrustArc. Получено 2 июн 2019. Практический опыт работы с технологиями и способность видеть продукты и услуги компании через призму клиента, заботящегося о конфиденциальности, очень важны.
  25. ^ О'Коннор, Брайан; Йетс, Эми (1 августа 2009 г.). «Обзор текущих проблем конфиденциальности HR». IAPP.org. Международная ассоциация профессионалов в области конфиденциальности. Получено 2 июн 2019.
  26. ^ МакКрири, Марк Г. (9 августа 2017 г.). «Заметки директора юридической фирмы по вопросам конфиденциальности: CPO vs. CISO». Фокс Ротшильд. Получено 2 июн 2019. [Эта] должность должна, по замыслу, иметь прочную связь с офисом главного юрисконсульта компании.
  27. ^ Меррик, Роберт; Райан, Сюзанна (1 апреля 2019 г.). «Управление конфиденциальностью данных в эпоху GDPR». Журнал управления рисками. ДИСКИ. Получено 2 июн 2019. ... в Канаде, США и Европе предприятия, которые делятся личной информацией с поставщиком, обязаны обеспечить наличие у поставщика адекватных процессов безопасности для защиты этой информации.
  28. ^ Бассет, Майк (февраль 2015 г.). "Итак, вы хотите быть сотрудником по вопросам конфиденциальности?". Для журнала Record. Vol. 21, № 2: Great Valley Publishing Co. Inc. стр. 24. Получено 2 июн 2019. Должность сотрудника по вопросам конфиденциальности изменилась таким образом, что необходимо больше разбираться в мерах безопасностиCS1 maint: location (ссылка на сайт)
  29. ^ Уайт, Сара К. (31 марта 2018 г.). «Пять причин, по которым вам нужно нанять директора по конфиденциальности (CPO)». Журнал CIO. IDG Communications Inc. Получено 2 июн 2019. CPO помогает разработать стратегии защиты информации, позволяющей установить личность, от подобных инцидентов, и может полностью проинформировать высшее руководство по вопросам - как техническим, так и деловым, - которые могут возникнуть в результате взлома.
  30. ^ Дэвис, Джессика (17 апреля 2019 г.). «CPO и CISO: растущие роли профессионалов в области конфиденциальности и безопасности». ИТ-безопасность в сфере здравоохранения. Xtelligent Healthcare Media, ООО. Получено 2 июн 2019.
  31. ^ Глокл, Мэгги; Роял, К. (15 ноября 2017 г.). «CPO и CISO: растущие роли профессионалов в области конфиденциальности и безопасности». ACCDocket.com. Ассоциация корпоративных консультантов. Получено 2 июн 2019.
  32. ^ Бергал, Дженни (21 августа 2018 г.). «Все больше штатов назначают руководителей по вопросам конфиденциальности для защиты персональных данных». Журнал государственных технологий. е. Республика. Получено 2 июн 2019. И директора по конфиденциальности не только справляются с внешними угрозами. Иногда нарушения происходят, когда государственные служащие непреднамеренно раскрывают данные, содержащие личную информацию, отправляют по электронной почте конфиденциальный документ в незащищенном формате или не хранят его в надежном месте.
  33. ^ «Офицеры по защите данных». ico.org.uk. Офис Комиссара по информации Великобритании. Получено 2 июн 2019.
  34. ^ «Руководители по вопросам конфиденциальности могут не иметь права выполнять функции сотрудников по защите данных в соответствии с GDPR, - говорит эксперт».. Out-Law.com. ТОО «Пинсент Масоны». 7 сентября 2017 г.. Получено 26 мая 2019.
  35. ^ Лоутон, Стивен (5 апреля 2018 г.). «Как нанять директора по конфиденциальности». Журнал SC. Haymarket Media Inc. Получено 2 июн 2019.
  36. ^ Карсон, Анжелика (25 августа 2015 г.). «Выведет ли юридическая степень вашу карьеру в области конфиденциальности на новый уровень». IAPP.org. Международная ассоциация профессионалов в области конфиденциальности. Получено 2 июн 2019. «В этой области есть действительно хорошие люди, у которых нет юридического образования [...] Но большинство высокопоставленных людей, как правило, имеют юридическое образование».
  37. ^ Кример, Мэтью (25 апреля 2011 г.). "Вашему агентству нужен главный специалист по конфиденциальности?". Журнал AdAge. Crain Communications. Получено 2 июн 2019. "Если это юридическое лицо, которое собирается посещать встречи и пытается ограничить ответственность, это не совсем бесполезно, но я не думаю, что оно будет делать то, что нам действительно нужно, а именно общаться с нашими клиентами и получать наши образованная потребительская база ...
  38. ^ Нг, Синди (2 июня 2017 г.). «Интервью: д-р Энн Кавукян о конфиденциальности через дизайн». Варонис. Получено 2 июн 2019. Вам нужен гораздо более широкий набор навыков, чем только закон. Так, например, я не юрист, и мне удалось три срока быть уполномоченным по вопросам конфиденциальности в Онтарио.
  39. ^ Дэн Тайнан (23 ноября 2012 г.). «Вопросы и ответы: пионер конфиденциальности Рэй Эверетт». IT мир. IDG. Получено 23 мая 2019.
  40. ^ Ульфельдер, Стив (15 января 2001). "О, нет, ни разу!". Журнал CIO. Архивировано из оригинал на 2006-12-06. Получено 2006-12-18. «Я танцую между тремя разными областями: юриспруденция / политика, маркетинг и технологии». -Рэй Эверетт-Черч, главный исполнительный директор и вице-президент по государственной политике AllAdvantage.com
  41. ^ Дитерле, Э.Дж. «Будущие роли: должен ли набор на должность директора по конфиденциальности быть приоритетом?». ДаПартнеры. Получено 2 июн 2019.
  42. ^ Канг, Сесилия (24 апреля 2018 г.). «Facebook заменяет лоббиста в условиях контроля со стороны регулирующих органов». Нью-Йорк Таймс. Компания New York Times. Получено 2 июн 2019. Г-жа Иган, которая также является директором по конфиденциальности Facebook, в течение последних двух лет отвечала за лоббирование и отношения с правительством в качестве главы политики.
  43. ^ Симберкофф, Дана (11 декабря 2018 г.). «Следует ли объединить роли директора по конфиденциальности и главного сотрудника по информационной безопасности?». CMS Wire. Simpler Media Group Inc.. Получено 2 июн 2019.
  44. ^ Ким, Ли (11 марта 2019 г.). «Мой путь к получению двух профессиональных сертификатов, CIPP и CISSP». HIMSS. Получено 2 июн 2019.
  45. ^ «Сертифицированный специалист по конфиденциальности информации». IAPP.org. Получено 2 июн 2019.
  46. ^ а б c «Учитывается ли сертификация IAPP для ИТ-специалистов в области здравоохранения?». USF Health Online. Университет Южной Флориды. Получено 24 августа 2019.
  47. ^ «Сертифицированный менеджер по конфиденциальности информации». IAPP.org. Получено 2 июн 2019.
  48. ^ «Сертифицированный технолог по конфиденциальности информации». IAPP.org. Получено 2 июн 2019.
  49. ^ «Сертифицирован в области конфиденциальности и безопасности в сфере здравоохранения». АХИМА. Получено 2 июн 2019.
  50. ^ «Сертифицирован в соответствии с требованиями конфиденциальности в сфере здравоохранения». Совет по сертификации соответствия. Получено 2 июн 2019.
  51. ^ «Сертифицированный специалист по безопасности информационных систем». ISC2.org. Получено 31 мая 2020.
  52. ^ «Обзор заработной платы специалистов по конфиденциальности IAPP за 2019 год». IAPP.org. Получено 23 мая 2019.
  53. ^ Спиецио, Кэролайн (7 мая 2019 г.). «Директорам по конфиденциальности в США платят больше, чем коллегам из ЕС, они имеют более тесные связи с юридическими лицами». Law.com. ALM Media Properties LLC. Получено 24 августа 2019. Согласно опросу IAPP о заработной плате профессионалов в области конфиденциальности за 2019 год, средняя заработная плата американских CPO составляет 212000 долларов по сравнению с 185000 долларов в Великобритании и 142000 долларов в Европейском союзе. Мировая средняя зарплата CPO составляет 200000 долларов в 2019 году.
  54. ^ «Заработная плата сотрудника по вопросам конфиденциальности». ziprecruiter.com. Получено 23 мая 2019.