2023年度隐私实践研究报告

隐私在实践中2023 隐私ISACA©2023。保留所有权利。 CONTENTS 3摘要 4执行概要 4/重要发现 4调查方法 6隐私的人员 9/技能差距 10隐私的预算 10隐私程序趋势 12/隐私团队与其他领域的互动13/董事会的隐私参与 13/监控隐私计划 14隐私意识培训 16隐私框架、法律法规 16侵犯隐私和失败 18隐私设计 19未来的隐私 20结论 21致谢 摘要 2023年隐私实践报告了ISACA的结果®全球隐私状况调查，于2022年第四季度进行。本报告重点介绍隐私人员配备、预算、计划趋势、意识培训和违规行为以及隐私设计。一些调查结果与去年的调查结果一致，而另一些则表明去年发现的一些隐私挑战有所缓解。 执行概要 根据2022年第四季度进行的ISACA全球隐私状况调查结果，《2023年隐私实践》探讨了隐私人员配备、预算、计划、意识培训和隐私设计方面的趋势。 在快速发展的隐私监管环境中，强大的企业隐私实践至关重要。侵犯隐私会侵蚀客户的信任，并日益导致企业声誉受损和巨额罚款。旨在保护数据主体并获得其信任的企业隐私计划使其企业从竞争对手中脱颖而出 。本白皮书探讨了组织隐私的状态。 重要发现 下面是关键的调查结果: •与法律/合规隐私角色相比，技术隐私角色可能出现或严重不足的可能性略高，尽管这两种类型的角色都受到人员短缺的影响。 •与法律/合规隐私角色相比，技术隐私角色在明年的需求增加的可能性要大得多。 •经验被认为是确定隐私职位候选人是否合格的最重要因素。 •预计明年对技术隐私专业人员和法律/合规隐私专业人员的需求将增加。 •隐私团队最常与信息安全、法律/合规和风险管理团队互动。 •通过设计实践隐私的企业更有可能： •团队有充分配备隐私 •相信他们的董事会适当地优先考虑企业隐私 •要求记录在案的隐私政策、程序和标准 •总体上使用比法律要求更多的隐私控制 •感觉自己的隐私预算适当资助 调查方法 2022年第四季度，ISACA向全球约46，000名持有ISACACSX网络安全从业者认证（CSX-P™）的ISACA成员发送了调查邀请，他们是认证™信息安全经理。®CISM(概述个人状况®）或认证数据隐私解决方案工程师™（CDPSE™）称号， 或在他们的职位中有“隐私”。调查数据是通过SurveyMonkey匿名收集的。共有1，890名受访者完成了调查;他们的回答包含在结果中。 最常见的认证是CISM认证：75%的受访者持有CISM认证，42%的受访者持有注册信息系统审核员®(中钢协®）认证，35%持有CDPSE认证。43%的受访者担任管理职务，26%担任高级领导职位，21%为个人贡献者，10%为个人贡献者 在行政领导职位。图1显示有关调查受访者的其他信息。 图1:被人口统计 顶级行业 24% 技术服务/咨询 23% 金融/银行 13% 政府/军队——国家/国家/ 地方 年的经验 14% 8% 21% 14% 19% 24% 1–5 16–20 6–10 21–25 11–15 25+ 总营收 34% 24% 16% 13% 12% 不到50美元-100美元-500美元 50美元99美元499美元1b999美元亿美元 地区 欧洲 20% 19% 亚洲 北美 47% 4% 4% 拉丁美洲 4% 3% 大洋洲 非洲 中东 组织的员工数量 19% 16% 23% 18% 25% 1–249 员工 250–999 员工 1,000–4,999 员工 5,000–24,999 员工 25000或更多的 员工 隐私的人员 根据调查结果，与隐私相关的全职员工的平均人数 企业内部的责任为26，略高于去年的平均水平（25）。 隐私人员角色包括法律/合规从业人员、技术IT人员、风险专业人员或安全专业人员。图2显示每个角色的员工百分比。 隐私从业者通常可以分为两类-法律/合规或技术。法律/合规隐私专业人员拥有知识 适用于企业但可能不具备广泛技术专长的隐私法律和法规;技术隐私专业人员拥有 应用有助于保护隐私和实现合规性的控制的技术专长。 图2:员工隐私的角色 您的员工中担任以下角色的百分比是多少？ 10% 53% 13% 7% 6% 6% 6% 法律/合规从业人员 全专业人员） 技术IT人员（不包括安8% 37% 21% 14% 10% 6% 4% 8% 51% 18% 8% 5% 5% 4% 风险专业人士 4% 45% 19% 11% 7% 10% 4% 安全专家 不知道 没有1%-20%-21%--61%-80%-40%-41%60%81%-100% 根据ISACA的调查结果，法律/合规和技术隐私团队人手不足。44%的受访者表示，法律/合规隐私团队人手不足或严重不足，53%的受访者表示技术隐私团队人手不足或严重不足。与法律/合规团队相比，技术隐私团队的人员不足程度与前几年的调查结果一致。尽管人手不足仍然令人担忧，但与去年相比有所改善（图3). 这可能是由于企业优先考虑隐私 与去年相比更多和/或增加隐私预算-35%的去年调查受访者表示他们的隐私预算将在未来12个月内增加。 一些企业正在采取措施解决人手不足的问题。27%的受访者表示，他们的企业拥有公开的法律/合规隐私职位，34%的受访者表示他们拥有开放的技术隐私职位。通常，填补隐私职位可能非常耗时（图4和5). 图3:与去年相比隐私人员配备不足人员配备不足隐私的角色 46% 44% 法律/合规 55% 53% 技术隐私 20222023 图4:时间来填补开放法律/合规隐私职位 平均而言，用合格的候选人填补法律/合规隐私职位需要多长时间？ 2% 图5:填补空缺技术隐私职位的时间平均而言，用合格的候选人填补技术隐私职位需要多长时间？ 2% 10% 22% 24% 26% 2% 15% 9% 23% 20% 25% 18% 2% <2周1-3个月 3-6个月 >6个月 不能填补空缺职位不知道 不适用 <2周1-3个月 3-6个月 >6个月 不能填补空缺职位不知道不适用 尽管一些受访者报告说，填补空缺隐私职位的时间在过去一年中有所减少，但大多数人报告说，填补职位的时间增加或保持不变。对于法律/合规职位，14%的受访者表示填补职位的时间有所或显着减少， 19%的人表示显着或略有增加，31%的人表示保持不变。填补技术隐私职位的时间是相似的，16%的人表示它有所或显着减少，23%的人表示显着或 略有增加，30%表示保持不变。 快速填补职位的一个挑战是缺乏合格的申请人。对于大约五分之一的受访企业，不到四分之一的隐私职位申请人完全有资格胜任他们申请的职位（法律/合规和技术隐私职位）。经验是确定申请人资格的主要因素 。图6显示了用于评估隐私候选人是否合格的因素的重要性。 图6:决定申请人资格的因素的重要性 在确定隐私候选人是否合格时，以下每个因素有多重要？ 62% 34% 3% 1% 合规/法律经验 58% 38% 4% 0% 之前的实践经验在隐私保护的作用 51% 42% 6% 0% 技术经验 40% 52% 7% 1% 凭证了 28% 53% 17% 1% 完成实习培训课程的隐私 26% 46% 24% 5% 大学学位 22% 46% 27% 5% 从以前的雇主的推荐 非常重要的有些重要的不是很重要不重要 根据76%的ISACA调查受访者，专家级隐私角色是最难雇用的级别，其次是从业者知识水平（51%）和入门级/基础知识水平（12%）。 技能差距 调查受访者认为，缺乏不同类型技术和/或应用程序的经验是当前隐私专业人员最大的技能差距（63%的受访者表示）;这与以下发现一致，即在评估隐私职位候选人时，经验是最重要的因素（图6).54%的受访者表示，框架和/或控制方面的经验是一个巨大的技能差距。下一个最常见的技能差距是理解 企业所遵守的法律法规（46%），紧随其后的是缺乏技术专长（45% ）。其他技能差距包括： •业务洞察力(39%) •IT操作知识和技能(38%) •软技能，如沟通、灵活性和领导力（34%） •网络和/或其他基础设施知识和技能（33%） •商业道德(18%) 企业正在努力缩小这些技能差距。图7显示企业正在应用的解决方案。 图7:的方法解决隐私的技能差距 您的组织采取了以下哪些措施（如果有）来帮助缩小这种隐私技能差距？选择所有适用项。 49% 培训允许有兴趣担任隐私角色的非 隐私员工 38% 更多地使用合同雇员或外部顾 问 25% 增加使用绩效培训证明实际技能掌握 25% 越来越依赖证书来证明实际的主题专业知识 20% 对人工智能或自动化的依赖增加 13% 什么也没做 12% 不知道 4% 组织没有隐私的技能差距 1% 其他 快速填补隐私角色的一个挑战是缺乏合格的申请人。经验是确定申请人资格的主要因素。 隐私的预算 除了隐私技能不足之外，预算不足也加剧了隐私团队面临的人员配备挑战。42%的ISACA调查受访者表示，他们的企业隐私预算资金有些或严重不足，36%的人表示资金充足，7%的人表示资金明显或有些过剩，14%的人不知道。这是一个 与去年相比略有改善，当时45%的受访者认为他们的隐私预算资 金不足，与2021年相比有更大的改善，当时49%的受访者认为他们的隐私预算资金不足。 那些认为他们的隐私预算得到适当资助的受访者从去年的33%增加到今年的36%。这些改进可能表明企业开始认识到隐私的重要性，并正在采取措施改善资金。虽然受访者的百分比 相信他们的企业隐私预算会 未来12个月显著或略有增加，从35%略有下降至34% 去年-这一下降可能是由于认为他们的隐私预算得到了适当资金的受访者比例增加，因此可能认为没有必要增加资金。 42%的受访者表示，他们的企业隐私预算资金有些或严重不足。 12%的受访者认为，他们的隐私预算将在未来12个月内有所或显着减少-高于去年的8%-因此一些企业可能需要缩减规模并利用他们拥有的有限资源。 隐私程序趋势 根据企业的结构以及高管的技能和能力，负责企业隐私的角色各不相同。图8显示了调查受访者企业中主要负责隐私的角色。百分之二十一的受访者表示，首席隐私官对隐私负责。十六 百分比的受访者表示首席信息官对隐私负责，14%的受访者表示执行级安全官-例如首席信息安全官（CISO）或首席安全官（CSO）-负责。 确保适当的人对隐私负责至关重要，因为这个人可以提供帮助 在发生违规行为时指导工作，并为隐私团队辩护，包括倡导资金和其他资源。这种问责制还提高了隐私与其他组织目标的一致性。 39%的受访者表示，缺乏高管或业务支持是制定隐私计划的障碍， 38%的受访者表示，在组织中缺乏可见性和影响力是一个障碍-这些挑战可以通过 拥有一个强大的c级隐私倡导者。图9显示了企业在制定隐私计划时面临 的其他挑战。 图8:问责制的隐私 谁主要负责组织中的隐私？ 21% 首席隐私官 16% 首席信息官执行级安全官 (例如,CISO方案) 13% 14% 10% 首席执行官总法律顾问/首席法务官首席合规官 9% 董事会 4% 5% 不知道 4% 其他 2% 组织没有负责隐私的人员 图9:形成一个隐私程序障碍 以下哪些（如果有的话）是组织在制定隐私计划的能力方面面临的障碍？选择所有适用项。 42% 40% 39% 缺乏资源主管任务、作用和责任不明确 缺乏执行或业务支持缺乏内部知名度和影响力 该组织 38% 38% 复杂的国际法律和 32% 31% 7% 监管环境与新技术相关的风险管理缺乏隐私策略和实施路线图 9% 1% 不存在任何障碍不知道 其他 隐私团队互动与其他地区 鉴于了解隐私的法律和监管环境的挑战，技术隐私专业人员必须与法律/合规隐私专业人员密切合作。这些团队应定期开会，了解其法律和监管义务，并确保技术控制到位以实现