Jump to content

Главный специалист по конфиденциальности

Edit links

Директор по конфиденциальности (CPO) — это руководитель высшего звена в растущем числе глобальных корпораций, государственных агентств и других организаций, отвечающий за управление рисками, связанными с законами и правилами конфиденциальности информации . [1] Вариации этой роли часто носят такие названия, как «Сотрудник по вопросам конфиденциальности», «Лидер по вопросам конфиденциальности» и «Советник по вопросам конфиденциальности». [2] Однако роль CPO существенно отличается от другой должности с аналогичным названием — должностного лица по защите данных (DPO), которая предусмотрена для некоторых организаций в соответствии с GDPR , и эти две роли не следует путать или объединять. [3] [4]

Роль CPO стала ответом на растущую «(c) обеспокоенность потребителей по поводу использования личной информации, включая медицинские данные и финансовую информацию, а также законов и постановлений». [5] В частности, расширение законов о конфиденциальности информации и новых правил, регулирующих сбор и использование личной информации, таких как Европейского Союза Общий регламент по защите данных (GDPR), повысили престиж и увеличили частоту назначения руководителем высшего звена. усилий по соблюдению конфиденциальности. [6] Кроме того, некоторые законы и постановления (например, Правило безопасности HIPAA ) требуют, чтобы определенные организации, входящие в сферу их регулирования, назначали руководителя по соблюдению конфиденциальности. [7] [8]

История

[ редактировать ]

В Соединенных Штатах должность директора по конфиденциальности впервые была создана в компании Acxiom, занимающейся маркетингом баз данных потребителей , в 1991 году, когда на должность CPO была назначена Дженнифер Барретт. [9] Эта роль оставалась в безвестности до августа 1999 года, когда компания AllAdvantage, занимающаяся технологиями интернет-рекламы, назначила адвоката по конфиденциальности Рэя Эверетта первым в эпоху Интернета на эту роль. [10] Это положило начало тенденции, которая быстро распространилась среди крупных корпораций как оффлайн, так и онлайн. [11] [12] Роль директора по конфиденциальности в корпоративном мире США укрепилась в ноябре 2000 года, когда Харриет Пирсон была назначена директором по конфиденциальности корпорации IBM . Это событие побудило одного влиятельного аналитика заявить: «Назначение директора по конфиденциальности — это тенденция, время которой пришло». [13]

К 2001 году некоммерческая исследовательская организация Privacy and American Business сообщила, что значительное количество компаний из списка Fortune 500 назначили старших руководителей на звание или роль директора по конфиденциальности. [14] [15] Рост популярности должности директора по конфиденциальности еще больше усилился после принятия Европейским Союзом в конце 1990-х годов законов и правил о конфиденциальности данных , которые включали требование ко всем корпорациям назначать человека, ответственного за соблюдение конфиденциальности. [6] [16]

К 2002 году должность директора по конфиденциальности и аналогичные управленческие должности, связанные с конфиденциальностью, получили достаточно широкое распространение, чтобы поддержать создание профессиональных обществ и торговых ассоциаций для продвижения программ обучения и сертификации. В 2002 году крупнейшие из этих организаций, Ассоциация специалистов по конфиденциальности и Ассоциация специалистов по корпоративной конфиденциальности, объединились в Международную ассоциацию специалистов по конфиденциальности, которая позже была переименована в Международную ассоциацию специалистов по конфиденциальности (IAPP). [17] IAPP ежегодно проводит несколько конференций и обучающих семинаров по всему миру, принимая членов ассоциации из крупнейших мировых корпораций и правительственных учреждений, а руководители стремятся получить программы сертификации в области практики управления конфиденциальностью. [6] Сообщается, что в 2019 году в нем насчитывалось более 50 000 членов. [18] во всем мире, что его руководство объяснило реакцией компаний на новые законы, такие как GDPR. [19]

Обязанности и обязанности

[ редактировать ]

Как руководитель программы корпоративной конфиденциальности, CPO имеет ряд важных обязанностей: [20] включая:

  • Управление политиками, процедурами и управлением данными компании.
  • Повышение осведомленности и обучение сотрудников вопросам конфиденциальности
  • Ведущее реагирование на инциденты, включая готовность к утечке данных
  • Донесение целей и ценностей конфиденциальности как внутри компании, так и за ее пределами.
  • Разработка элементов управления для управления соблюдением конфиденциальности
  • Оценка рисков, связанных с конфиденциальностью, возникающих из существующих продуктов и услуг.
  • Проведение оценки влияния на конфиденциальность для выявления рисков в новой или измененной деловой деятельности.
  • Мониторинг эффективности мер по снижению рисков, связанных с конфиденциальностью, и мер по обеспечению соответствия

Многие из этих действий и требований включены в должностные инструкции CPO. [21] [22]

Эта роль требует прочных отношений сотрудничества. [23] с другими заинтересованными сторонами в организации, включая инженеров и менеджеров по продуктам [24] (за влияние на конфиденциальность продуктов и услуг), человеческие ресурсы [25] (за влияние на конфиденциальность данных сотрудников), юридические группы [26] (для мониторинга и интерпретации применимого законодательства и мер по обеспечению соответствия), управления закупками и поставщиками, [27] и группы информационных технологий и информационной безопасности . [28]

Взаимодействие с другими старшими должностями

[ редактировать ]

Когда организации осознают необходимость в CPO, часто возникает проблема, связанная с размещением этой роли в организационной структуре и проблемой дублирования аналогичных ролей «C-уровня». [29] в первую очередь многочисленные пересечения ролей директора по информационной безопасности и директора по информационной безопасности (CISO). [30] [31] Хотя обязанности CPO и CISO в некоторой степени совпадают в обязанностях по защите и управлению данными, в конечном итоге конфиденциальность и безопасность играют разные роли. Например, хотя и CPO, и CISO могут заниматься предотвращением утечек данных, ответственность за управление мерами технического предотвращения, как правило, будет лежать на CISO, в то время как проблемы CPO будут смотреть в более широком смысле на то, используются ли иным образом должным образом защищенные данные способами, это может подвергнуть компанию юридическому, нормативному или репутационному риску. [32]

Еще одна область потенциального дублирования, а иногда и путаницы, — это взаимодействие между CPO и все более распространенной ролью сотрудника по защите данных (DPO). Роль DPO особенно необходима для определенных организаций, подпадающих под юрисдикцию ЕС GDPR . [33] У DPO очень специфические роли, требования и ожидания, изложенные в статье 39 GDPR и связанных с ним нормативных руководствах, в том числе уровень необходимой независимости и организационного разделения, которые сильно отличают его от CPO. [4]

Квалификация и опыт

[ редактировать ]

Хотя ряд CPO имеют юридическое образование и степень доктора юридических наук (или эквивалентную), роль CPO является междисциплинарной. Эта роль требует от руководителя понимания того, как сбор и использование данных, а также связанные с ними риски влияют на повседневную бизнес-операцию организации. [34] CPO также должны быть осведомлены о ряде правовых, нормативных, договорных и других факторов, влияющих на стратегию организации в отношении рисков конфиденциальности. По этим причинам многие считают, что юридическое образование является обязательным условием для успешного CPO. [35] Другие полагают, что юридическое образование может привести к слишком узкому фокусу. [36] и CPO должны иметь больше, чем просто юридическое образование. [37]

Среди других квалификаций, которые считаются ценными для CPO, — сильные коммуникативные навыки, особенно в области связей с общественностью. Это связано с тем, что эта роль частично отвечает за разработку и реализацию стратегий по работе с общественностью в случае утечки данных или других инцидентов, связанных с безопасностью данных, а CPO часто выступает в качестве лица организации по связям с общественностью. [38] [39] [40] К CPO также часто обращаются в качестве лоббиста, представляющего интересы организации перед законодателями. [41] От CPO также все чаще требуется глубокое знание операционных методов и технологий организации, связанных с данными, а также взаимодействия между мерами обеспечения соответствия, которые охватывают сферы конфиденциальности и безопасности. [42]

Профессиональная сертификация

[ редактировать ]

Все большее число людей, стремящихся сделать карьеру в качестве CPO, будут стремиться пройти обучение по нескольким дисциплинам, связанным с этой областью. [43] Среди наиболее распространенных учетных данных, встречающихся в этом пространстве, можно назвать:

  • Сертифицированный специалист по конфиденциальности информации (CIPP) со специализацией в таких регионах, как США, Канада, Европа и Азия. [44] [45]
  • Сертифицированный менеджер по конфиденциальности информации (CIPM) [46] [45]
  • Сертифицированный технолог по обеспечению конфиденциальности информации (CIPT) [47] [45]
  • Сертифицирован в области конфиденциальности и безопасности в сфере здравоохранения (CHPS) [48]
  • Сертифицирован в области соблюдения конфиденциальности в сфере здравоохранения (CHPC) [49]
  • Сертифицированный специалист по безопасности информационных систем (CISSP) [50]

Зарплата

[ редактировать ]

Сложность роли и проблема поиска людей с нужным сочетанием навыков, образования и опыта отражены в данных о заработной плате. По состоянию на 2021 год средняя зарплата должности CPO составит 200 000 долларов США во всем мире и более 212 000 долларов США в США. [51] [52] По другим данным, средние зарплаты сотрудников службы конфиденциальности в США в 2021 году варьировались от 114 638 до 126 000 долларов. [53] [54]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Новая терминология конфиденциальности» . Нью-Йорк Таймс . 10 апреля 2019 года . Проверено 23 мая 2019 г.
  2. ^ «Полный отчет: Сравнительный анализ управления конфиденциальностью и инвестиций компаний из списка Fortune 1000» . www.iapp.org . Проверено 23 мая 2019 г.
  3. ^ Коселья, Джаред (3 января 2019 г.). «Кофе с плюсами конфиденциальности: DPO против CPO. Юрист против технического специалиста. Двойственность конфиденциальности» . Журнал ЦПО . Конфиденциальность данных Asia Pte. ООО . Проверено 26 мая 2019 г.
  4. ^ Jump up to: а б «Главные специалисты по конфиденциальности могут не иметь права выступать в качестве офицеров по защите данных в соответствии с GDPR, — говорит эксперт» . Out-Law.com . ТОО «Пинсент Мейсонс». 7 сентября 2017 г. Проверено 26 мая 2019 г.
  5. ^ «Директор по конфиденциальности | DefineFinance» . www.definefinance.com . Проверено 31 октября 2015 г.
  6. ^ Jump up to: а б с Титтель, Эд (6 июня 2018 г.). «Готовимся к сертификации GDPR: всего несколько хороших вариантов» . Хьюлетт Паккард Энтерпрайз . Hewlett Packard Enterprise Development LP . Проверено 24 августа 2019 г.
  7. ^ «Краткое описание правила безопасности HIPAA» . Министерство здравоохранения и социальных служб США (HHS) . Проверено 25 мая 2019 г.
  8. ^ «Обязанности сотрудника по обеспечению конфиденциальности HIPAA» . Группа соответствия . Проверено 24 мая 2019 г.
  9. ^ «О IAPP - Дженнифер Барретт Глазго, CIPP/США» . IAPP.org . Проверено 23 мая 2019 г.
  10. ^ Дэн Тайнан (23 ноября 2012 г.). «Вопросы и ответы: пионер конфиденциальности Рэй Эверетт» . Мир ИТ . ИДГ . Проверено 23 мая 2019 г.
  11. ^ Жюстин Браун (30 мая 2014 г.). «Возвышение директора по конфиденциальности» . Государственные технологии . Проверено 23 мая 2019 г.
  12. ^ Ульфельдер, Стив (15 января 2001 г.). «О нет, не еще один О!» . Журнал ИТ-директоров . Архивировано из оригинала 6 декабря 2006 г. Проверено 18 декабря 2006 г.
  13. ^ «IBM назначает директора по конфиденциальности» . CNET.com . 2 января 2002 года . Проверено 23 мая 2019 г.
  14. ^ Сандберг, Джаред (16 июля 2001 г.). «Офицер конфиденциальности» . Уолл Стрит Джорнал . Доу Джонс и компания Инк . Проверено 26 августа 2019 г.
  15. ^ Шварц, Джон (12 февраля 2001 г.). «Первая линия защиты: директора по конфиденциальности формируют развивающиеся корпоративные роли» . Нью-Йорк Таймс . Проверено 26 августа 2019 г.
  16. ^ «Международная ассоциация специалистов по конфиденциальности: Руководство по карьере и сертификации» . Деловые новости ежедневно. 15 июня 2018 г. Проверено 10 мая 2019 г.
  17. ^ Маселли, Дженнифер (25 августа 2003 г.). «Группа конфиденциальности фокусируется на RFID» . RFID-журнал . Изумрудные Экспозиции, ООО . Проверено 18 августа 2019 г. «Это своевременная тема», — говорит Шара Прибуток, администратор IAPP, которая была образована недавно в результате слияния Ассоциации специалистов по конфиденциальности и Ассоциации специалистов по корпоративной конфиденциальности.
  18. ^ «50 тысяч участников: веха для IAPP и глобальной конфиденциальности» . IAPP.org . Международная ассоциация специалистов по конфиденциальности. 2 мая 2019 года . Проверено 1 октября 2019 г. IAPP насчитывал 50 000 членов по всему миру.
  19. ^ Хьюз, Дж. Тревор (25 мая 2018 г.). «GDPR, день 1: размышления о том, что, черт возьми, только что произошло» . IAPP.org . Международная ассоциация специалистов по конфиденциальности . Проверено 2 июня 2019 г. Всего за две недели до крайнего срока GDPR мы превысили 40 000 членов в более чем 100 странах мира.
  20. ^ Денсмор, Рассел, изд. (2019). Управление программой конфиденциальности (второе изд.). Международная ассоциация специалистов по конфиденциальности. ISBN  978-1-948771-24-5 .
  21. ^ «Образец должностной инструкции (главного) специалиста по конфиденциальности» . АХИМА Свод знаний . АХИМА . Проверено 2 июня 2019 г.
  22. ^ «Руководство по карьере директора по конфиденциальности» . Флоридский технологический институт онлайн . Флоридский технологический институт . Проверено 2 июня 2019 г.
  23. ^ «Главный директор по конфиденциальности» . Этика.орг . Инициатива по этике и соблюдению требований . Проверено 2 июня 2019 г. Постройте прочные отношения сотрудничества с ключевыми партнерами из отделов ИТ-безопасности, кадров, закупок, права, финансов, глобальной безопасности и бизнес-подразделений.
  24. ^ Росс, Александра (29 сентября 2014 г.). «5 главных качеств великого директора по конфиденциальности (CPO)» . ТрастАрк . Проверено 2 июня 2019 г. Практический опыт работы с технологиями и способность видеть продукты и услуги компании через призму клиента, заботящегося о конфиденциальности, имеют важное значение.
  25. ^ О'Коннор, Брайан; Йейтс, Эми (1 августа 2009 г.). «Обзор текущих проблем конфиденциальности кадров» . IAPP.org . Международная ассоциация специалистов по конфиденциальности . Проверено 2 июня 2019 г.
  26. ^ МакКрири, Марк Г. (9 августа 2017 г.). «Заметки директора по конфиденциальности юридической фирмы: CPO против CISO» . Фокс Ротшильд . Проверено 2 июня 2019 г. [T] Должность по замыслу должна иметь прочную связь с офисом главного юрисконсульта фирмы.
  27. ^ Меррик, Роберт; Райан, Сюзанна (1 апреля 2019 г.). «Управление конфиденциальностью данных в эпоху GDPR» . Журнал «Управление рисками» . РИМС . Проверено 2 июня 2019 г. ...в Канаде, США и Европе компании, передающие личную информацию поставщику, обязаны обеспечить наличие у поставщика адекватных процессов безопасности для защиты этой информации.
  28. ^ Бассетт, Майк (февраль 2015 г.). «Итак, вы хотите стать офицером по конфиденциальности?» . Для записи . Том. 21, нет. 2. Great Valley Publishing Co. Inc., с. 24 . Проверено 2 июня 2019 г. Должность ответственного за конфиденциальность изменилась таким образом, что необходимо больше понимать меры безопасности.
  29. ^ Уайт, Сара К. (31 марта 2018 г.). «Пять причин, по которым вам нужно нанять директора по конфиденциальности (CPO)» . Журнал ИТ-директоров . IDG Communications Inc. Проверено 2 июня 2019 г. CPO помогает разрабатывать стратегии, обеспечивающие защиту личной информации от подобных инцидентов, и может полностью проинформировать высшее руководство о проблемах — как технических, так и деловых, — которые могут возникнуть в результате взлома.
  30. ^ Дэвис, Джессика (17 апреля 2019 г.). «CPO и CISO: развивающаяся роль специалистов по конфиденциальности и безопасности» . ИТ-безопасность в сфере здравоохранения . Xtelligent Healthcare Media, ООО . Проверено 2 июня 2019 г.
  31. ^ Глокл, Мэгги; Роял, К. (15 ноября 2017 г.). «CPO и CISO: развивающаяся роль специалистов по конфиденциальности и безопасности» . ACCDocket.com . Ассоциация корпоративных юристов . Проверено 2 июня 2019 г.
  32. ^ Бергал, Дженни (21 августа 2018 г.). «Все больше штатов назначают «главных специалистов по конфиденциальности» для защиты данных людей» . Журнал государственных технологий . е.Республика . Проверено 2 июня 2019 г. И директора по конфиденциальности занимаются не только внешними угрозами. Иногда нарушения происходят, когда государственные служащие непреднамеренно раскрывают данные, содержащие личную информацию, отправляют конфиденциальный документ по электронной почте в незащищенном формате или не сохраняют его в безопасном месте.
  33. ^ «Офицеры по защите данных» . ico.org.uk. ​Офис комиссара по информации Великобритании . Проверено 2 июня 2019 г.
  34. ^ Лоутон, Стивен (5 апреля 2018 г.). «Как нанять директора по конфиденциальности» . Журнал СК . Хеймаркет Медиа Инк . Проверено 2 июня 2019 г.
  35. ^ Карсон, Анжелика (25 августа 2015 г.). «Поднимет ли юридическое образование вашу карьеру в области конфиденциальности на новый уровень» . IAPP.org . Международная ассоциация специалистов по конфиденциальности . Проверено 2 июня 2019 г. «В этой области есть действительно хорошие люди, у которых нет юридического образования [...] Но большинство высокопоставленных людей, как правило, имеют юридическое образование».
  36. ^ Кример, Мэтью (25 апреля 2011 г.). «Нужен ли вашему агентству директор по конфиденциальности?» . Журнал AdAge . Крэйн Коммуникейшнс . Проверено 2 июня 2019 г. «Если юридическое лицо будет присутствовать на собраниях и пытаться ограничить ответственность, это не совсем бесполезно, но я не думаю, что оно будет делать то, что нам действительно нужно, а именно общаться с нашей клиентской базой и получать наши образованная потребительская база...
  37. ^ Нг, Синди (2 июня 2017 г.). «Интервью: доктор Энн Кавукян о конфиденциальности благодаря дизайну» . Варонис . Проверено 2 июня 2019 г. Вам нужен гораздо более широкий набор навыков, чем просто право. Так, например, я не юрист, и мне удалось быть комиссаром [Онтарио по конфиденциальности] в течение трех сроков.
  38. ^ Дэн Тайнан (23 ноября 2012 г.). «Вопросы и ответы: пионер конфиденциальности Рэй Эверетт» . Мир ИТ . ИДГ . Проверено 23 мая 2019 г.
  39. ^ Ульфельдер, Стив (15 января 2001 г.). «О нет, не еще один О!» . Журнал ИТ-директоров . Архивировано из оригинала 6 декабря 2006 г. Проверено 18 декабря 2006 г. «Я танцую между тремя разными областями: юриспруденцией/политикой, маркетингом и технологиями». -Рэй Эверетт-Черч, директор по политике и вице-президент по государственной политике AllAdvantage.com
  40. ^ Дитерле, Э.Дж. «Будущие должности: должен ли подбор персонала на должность директора по конфиденциальности быть приоритетом?» . Да, партнеры . Проверено 2 июня 2019 г.
  41. ^ Канг, Сесилия (24 апреля 2018 г.). «Facebook заменяет лоббистского руководителя на фоне контроля со стороны регулирующих органов» . Нью-Йорк Таймс . Проверено 2 июня 2019 г. Г-жа Иган, которая также является директором по конфиденциальности Facebook, в течение последних двух лет отвечала за лоббирование и отношения с правительством в качестве руководителя политики.
  42. ^ Симберкофф, Дана (11 декабря 2018 г.). «Следует ли объединить роли директора по конфиденциальности и директора по информационной безопасности?» . Провод CMS . Simpler Media Group Inc. Проверено 2 июня 2019 г.
  43. ^ Ким, Ли (11 марта 2019 г.). «Мой путь к получению двух профессиональных сертификатов: CIPP и CISSP» . ХИМСС . Проверено 2 июня 2019 г.
  44. ^ «Сертифицированный специалист по конфиденциальности информации» . IAPP.org . Проверено 2 июня 2019 г.
  45. ^ Jump up to: а б с «Является ли сертификация IAPP важной для ИТ-специалистов в сфере здравоохранения?» . USF Health Online . Университет Южной Флориды . Проверено 24 августа 2019 г.
  46. ^ «Сертифицированный менеджер по конфиденциальности информации» . IAPP.org . Проверено 2 июня 2019 г.
  47. ^ «Сертифицированный технолог по обеспечению конфиденциальности информации» . IAPP.org . Проверено 2 июня 2019 г.
  48. ^ «Сертифицирован в области конфиденциальности и безопасности в сфере здравоохранения» . АХИМА . Проверено 2 июня 2019 г.
  49. ^ «Сертифицирован в области соблюдения конфиденциальности в сфере здравоохранения» . Совет по сертификации соответствия . Проверено 2 июня 2019 г.
  50. ^ «Сертифицированный специалист по безопасности информационных систем» . ISC2.org . Проверено 31 мая 2020 г.
  51. ^ «Опрос зарплат специалистов IAPP по обеспечению конфиденциальности за 2021 год» . IAPP.org . Проверено 18 июня 2021 г.
  52. ^ Спиецио, Кэролайн (7 мая 2019 г.). «Главным специалистам по вопросам конфиденциальности в США платят больше, чем коллегам из ЕС, и они имеют более тесные связи с юридическими органами» . Law.com . ООО «АЛМ Медиа Пропертиз» . Проверено 24 августа 2019 г. Согласно опросу зарплат специалистов по конфиденциальности, проведенному IAPP за 2019 год, средняя зарплата американских CPO составляет 212 000 долларов США по сравнению с 185 000 долларов США в Великобритании и 142 000 долларов США в Европейском Союзе. Средняя мировая зарплата CPO в 2019 году составляет 200 000 долларов.
  53. ^ «Зарплата сотрудника службы конфиденциальности» . ziprecruiter.com . Проверено 18 июня 2021 г.
  54. ^ «Пандемия не остановила рост зарплат в сфере конфиденциальности, но еще есть над чем поработать» . scmagazine.com . 29 июня 2021 г. Проверено 1 июля 2021 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Chief_privacy_officer&oldid=1199445089"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 67186c26d373aa37a02304ae866c971e__1706312220
URL1:https://arc.ask3.ru/arc/aa/67/1e/67186c26d373aa37a02304ae866c971e.html
Заголовок, (Title) документа по адресу, URL1:
Chief privacy officer - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)