企業的六種資料儲存合規性策略

導讀	強調合規性的資料儲存管理人員應該遵循行業機構分析師推薦的策略，其中包括採用自動化技術和匿名資料。儲存專業人士如今有很多事情要做，但在隱私法規範圍不斷擴充套件的時代，他們的任務清單卻在不斷增加。包括GDPR法案、薩班斯-奧克斯利法案、HIPAA、PCIDSS、CCPA等法規在內的隱私法規使企業確保其儲存資料的合規性如今成為一項更大的挑戰。

然而，儲存專家是否承擔相對於企業中其他人更多的合規性責任因行業領域和企業規模而異。IDC公司分析師Andrew Smith表示，在零售行業等監管較少的行業中，當涉及到安全規則和合規性操作時，更常見的是看到儲存專業人員的責任更加廣泛。另一方面，在醫療保健公司等高度監管的行業中，負責安全和合規性的專門團隊通常更為普遍，有時由首席資料官提供支援。

對於大多數企業來說，最主要的合規性驅動因素包括以下內容：

GDPR。《通用資料保護條例》(GDPR)控制與歐盟(EU)公民相關的資料保護和隱私，限制資料移動以及資料的使用方式。由於其廣泛的定義和難以承受的處罰，GDPR法規是所有資料管理員最關心的問題，他們必須非常謹慎以避免其陷阱。
薩班斯-奧克斯利法案。該法案是一項美國在2002年釋出的金融法規，它對在美國上市的公司採用了嚴格的資料保留規則。儲存專家必須注意法規所涵蓋的資料。
HIPAA。1996年的《健康保險流通與責任法案》(HIPAA)是一項複雜的法規，涵蓋的不僅僅是資料。但是，其最相關的功能旨在保護與個人相關的醫療資訊的隱私和機密性。因此，它關注資料的保留和訪問控制。
PCIDSS。支付卡行業資料安全標準旨在保護儲存在任何地方的消費者信用卡資訊——既防止欺詐又保護隱私。處理此類資料的組織需要接受各種定期審計。
CCPA。《加利福尼亞消費者隱私法》(CCPA)是一項在概念和後果上與歐盟GDPR相似的州法律。
研究機構Enterpris Strategy集團分析師Christophe Bertrand指出，所有這些法規的最主要問題是瞭解企業擁有哪些資料以及哪些法規適用於這些資料。一旦確定，合規性就更容易管理。

IDC公司分析師Andrew Smith說，“通常情況下，我們看到儲存專業人員負責資料管理和記錄保護的基礎知識，無論資料型別如何。”他表示，這可能包括確保資料可用並受到保護(複製和備份)，而不管其資料型別如何，將提供適當的訪問控制和流程，並確保合規性。

他表示，歸檔和電子發現之間的關係通常是學科交叉的一個很好的例子。儲存管理員通常負責資料歸檔、資料策略、後設資料和訪問。然後，合規專家將使用存檔中的原生工具或在整合應用程式的幫助下訪問這些資料，用於監視或電子發現目的。他補充說，“它們所扮演的角色非常不同，但都是資訊治理目標不可或缺的一部分。”

Smith說，“在通常情況下，資料仍由IT組織中的儲存或資料經理管理。對於SaaS應用程式，這變得更加多樣化，可能經常看到業務應用程式所有者在他們使用的特定SaaS應用程式範圍內承擔資料管理任務。”

不過他表示，在與供應商和買家的溝通和對話中，儲存、資料管理、資料安全和法規遵從性之間的界限似乎開始模糊。在過去幾年中，市場已轉向為資料管理、資料彈性和資料平臺提供平臺和服務。

Smith表示，市場朝著這個方向發展的很大一部分原因是儲存專業人士必須“少花錢多辦事”。隨著企業對其運營、產品和服務的大部分實現數字化，儲存容量繼續呈指數級增長。這給儲存專業人員和IT管理員帶來了額外的負擔，以確保以經濟高效的方式儲存企業資料，並且更廣泛的應用程式和業務部門可以輕鬆訪問被認為是“關鍵任務”的資料。而目前流行的主題是“資料是新的石油，資料是最寶貴的資產”，企業面臨著捕捉和保留比以往更多的資料的壓力，並希望這些資料能夠以新穎的方式實現貨幣化。他補充說，“在許多情況下，儲存管理員需要經濟高效地管理儲存系統，這將面臨一個艱難的處境。”

儘管儲存和IT專業人員可能不具備滿足所有合規性要求或阻止每次網路攻擊所需的所有工具和知識，但他們絕對是第一道防線，並且是企業資料戰略的一個重要組成部分。Smith說。“當我們向儲存經理詢問隱私法和合規性時，大多數人表示擔心其企業的合規能力。這些人通常關注效能、管理和安全等方面的挑戰，尤其是雲端儲存服務的安全性。”

Smith和其他分析師為關心如何應對合規性挑戰的儲存專業人士提出了六個建議或最佳實踐，其中包括：

準備好證明政策和做法的合理性。Bertrand表示，所有法規都可以解釋，有些法規故意含糊不清，實際上具體規定了使用現代的做法。這意味著需要有某種關於儲存策略的解釋性資訊來支援選擇的適當性，如果曾經被審計的話。

Grant Thornton公司負責人Lindsay Hohler表示，建議使用工具來實施和自動化資料治理。並確保每個人都瞭解他們的角色和職責。她補充說，“這不僅僅是一個由IT領導的計劃;它必須讓企業的利益相關者參與進來。”

Smith指出，確保資料儲存在最具成本效益和效能的可用層上是最佳實踐。並確保滿足基本策略和訪問要求。例如，在分層或刪除資料之前，確定誰可以訪問哪些檔案/儲存桶以及應保留特定時間段的特定資料。他補充說，“我們經常看到所有這些都在儲存專業人員的控制之下。”

Smith說，儲存和IT專業人員在出現問題時可以避免成為“替罪羊”的一種方法，是在合規性和安全性方面對供應商產品和服務進行更全面的審查和發現。他補充說，當涉及到資料隱私和合規性時，需要提出正確的問題以瞭解客戶與供應商的關係，以及共同責任與個人責任。

這些服務的核心是傳統的儲存系統，但越來越多的IT購買者期望的不僅僅是檔案系統或物件儲存庫。他們希望內建的高階資料管理工具能夠超越基本的配置。因此，據Smith稱，他們正在尋找管理工具來幫助自動化訪問控制、預測物理裝置故障或識別效能瓶頸，以及跟蹤和稽核資料日誌，並識別惡意軟體或勒索軟體。

Hohler指出，在某些情況下，受監管的資料可以匿名化，因此它不再違反GDPR和CCPA等法規，從而可以繼續保留，但風險較小。

Hohler表示，實施良好的資料保護和合規實踐的必然結果是確保企業也擁有健全和積極的資料處理實踐。她說，“多年來，企業一直致力於確保保留資料以滿足各種法規要求，但現在，我們看到更多的轉變是在資料具有商業意義時立即處理資料，並假設企業已經滿足合規性。”

Hohler補充說，最重要的是要意識到安全和合規計劃的實施可能需要一些時間。

原文來自：