数据安全保护失败的原因是多种多样的，从无意的事故到有意的破坏行动，但从广义上说，数据控制人和数据处理人在设计数据安全风险的响应机制时应该考虑以下因素：

① 威胁和漏洞评估以及安全性能成熟度评估；

② 安全管理行为；

③ 人为因素；

④ 物理环境；

⑤ 网络和技术环境；

⑥ 策略、控制和业务流程框架；

⑦ 事件检测和响应。

当然，为了使组织能够进行全面的风险评估，需要识别和理解完整的个人数据生命周期（GDPR第30条）。数据控制人应进行数据映射和库存管理操作，以便能够精确定位所有数据捕获和数据输入点，并应能够绘制出数据在组织中的位置，当数据到达冗余点时数据应当被彻底删除或销毁。现如今，云计算、自带设备办公（BYOD）和"影子IT"的发展加剧了数据周期内数据的控制问题，在这种情况下，组织很容易失去对个人数据的有效控制。此外，外包的增长将技能和专业知识集中在专业数据处理人员手中，导致许多组织的内部专业知识逐年流失。组织需要想办法减少这些问题带来的不利影响。

数据合规人员除了咨询他们的内部安全专业人员关于安全威胁的性质和风险响应策略的性质，还可以从以下领域进行审查：

① 相关立法，包括NIS Directive、ePrivacy Directive、Cybercrime Directive、Payment Services Directive No.2 等；

② 专业机构输出的观点，如WP29、欧洲数据保护主管部门和欧盟网络和信息安全机构；

③ 安全中心的观点输出，如英国的国家网络安全中心；

④ 国家政府的政策框架，如国家网络安全计划；

⑤ 国家数据合规监管机构和行业监管机构发布的监管政策声明和其他指导意见；

⑥ 国家数据合规监管机构及相关监管机构提出的监管执法决定；

⑦ 相关领域的判决；

⑧ 最佳实践的国家和国际标准，如ISO 27000系列，支付卡行业数据安全标准，CBEST和NIST 框架。

一个有效的数据安全管理必须具备某些关键属性。例如，安全问题将被视为董事会层面的问题，董事会必须培养一种风险意识和尊重个人数据的文化。组织需要成立一个多学科团队，负责风险管理，包括来自数据科技、安保、法律、合规、人力资源、财务、审计、公司秘书处等领域的高级管理人员。组织需要划拨出足够的资源，确保该组织将严肃对待偏离政策和其他数据安全相关事件。当然，管理团队将需要参与计划制订和演练，例如情景模拟和角色扮演。

良好的组织措施需要构建起行为准则，并对数据合规风险高度重视，其中应当包括以下关键部分：

① 了解人员风险。合规文化建立的开始是识别工作中的安全风险，以及如何消除这些风险。IT 部门工作中的风险不同于企业中面向客户的角色所可能面临的风险。办公室工作的风险与户外工作者或在家工作者不同，这一微观层面的风险评估过程将从入职起确定减轻数据安全风险的不同路径。

② 招聘流程。设计招聘流程的目的是找到合适的人选。收集和处理候选人信息的方式传达了组织对安全和保密的重视程度。招聘广告的内容和投放、面试和评估过程、推荐信的收集、入职前的工作或背景调查，都需要考虑到信息处理的方式。

③ offer和雇佣合同。招聘过程的这几个阶段提供了充分的入职前嵌入组织文化的机会。这些特别重要的文件应该包含正确的措辞，解释组织的数据合规期望和实现其期望的途径。

④ 持续的、基于工作角色的培训。数据合规教育不会在入职日结束。组织必须提供持续的、基于角色的培训，让员工跟上政策、安全威胁以及他们在处理这些威胁时的角色。

⑤ 监视执行。基于数据安全目的监视员工的行为是一项必要的活动，并且可以根据GDPR的规则进行合理的处理。然而，在某种程度上过于侵入个人隐私的监控，包括不透明的监控，很容易违反工作场所隐私的规定。欧洲数据保护委员会（EDPB）似乎认识到工作场所监控需要数据保护影响评估（DPIA)，这一评估需要根据GDPR第35条执行。

数据保护专业人士应该考虑到，文书工作不充分或缺乏相关隐私政策、控制措施和流程框架将给监管机构造成坏的印象，因为文书工作的充分性是监管机构在调查和执法过程中首先要考虑的问题之一。数据保护专业人士还应考虑诉讼的动态，在大多数司法管辖区，披露或发现不合规的过程大都发生在以文件为重点的诉讼中。因此，如果披露的过程显示文书工作不充分（包括政策和记录保存不充分），也会给人留下不好的印象。接下来，数据保护专业人士应该考虑企业之间的合同流程，在合同尽职调查期间，必须要求合同一方向对方的组织提供安全文件并审查之。

近年来，监管的倾向逐渐显现。在调查期间，监管机构有两种选择，他们可以着重检查该机构的合规文书工作，也可以检查该机构的实际运营情况。基于实际运营情况监管的问题在于，它比基于文书的监管更耗时、更昂贵，而且对组织的日常活动也更具破坏性。基本上，基于运营的监管模式要求监管机构在不确定结果的情况下，安排人员进入数据控制人的工作场所。文书性监管有着完全不同的方式，它比基于运营的监管更便宜、更快、更有效。它可以在监管机构的办公桌上进行，结果可能更确定。因此，组织一定要重视文书和制度的制定，这在某些程度上甚至比实际合规运营更重要。

由于数据保护的主要焦点是电子数据，企业需要确保它们的技术是稳健的，并符合数据安全的目的。除了加密，市场上还有许多其他事实上强制实施的安全增强技术，如反病毒、反垃圾邮件、防火墙、身份和访问管理、事件检测、数据丢失预防、双因素认证和IP日志管理等技术。组织需要充分评估采取这些技术的成本和所能带来收益之间的平衡，并在此基础上尽量增强安全技术措施。

物理环境的安全性是从业人员需要考虑的另一个重要因素。复杂的入口控制系统、闭路电视 (CCTV)、锁和钥匙以及干净的办公桌政策与业务连续性和灾难恢复一样，都是重要的组成部分，并受到与其他监测控制相同的限制。

根据GDPR的要求，数据控制人必须做到：选择可靠的数据处理人；在合作期间保持质量控制和合规性；在合同中构建数据保护的法律关系，其中包含必要的条款，要求数据处理人实施并保持适当的安全措施，根据数据控制人的指示进行处理，在合规性上与数据控制人合作，包括违约披露，并将这些要求串联到整个供应链中。那么，数据控制人如何防范GDPR第28条的法律风险呢？可以拟订一份在订约前尽职调查阶段要考虑的问题清单，该清单可以提供证据证明采取了必要的步骤，这些步骤包括：

① 验证数据处理人对数据合规事务的理解；

② 调查数据处理人是否有数据泄露或数据安全方面的不良记录；

③ 调查数据处理人是否正在接受监管机构的调查；

④ 调查数据处理人的其他用户；

⑤ 调查数据处理人是否根据ISO 27001、CBEST、PCI DSS或其他制度认证信息安全性；

⑥ 实际走访交流；

⑦ 进行预先审计；

⑧ 了解数据处理人的上下游供应链情况等。

为了应对数据安全事故，组织需要事先制订数据安全事故响应计划。一个好的事件响应计划的核心要求包括：

① 高层领导的理解和正式批准；

② 一个既关乎事件响应的预期方面又关乎事件响应的响应方面的治理模型；

③ 事件响应团队和参与事件响应功能执行的每个人都必须知道如何、何时以及为什么可以作出决策以及出于什么目的；

④ 将涉及的人员和他们的角色的列表；

⑤ 预测性、前瞻性结果分析；

⑥ 强制报告“异常”事件；

⑦ 多学科／多司法专家在评估安全性时的观点；

⑧ 演练计划，如“桌面”事件；

⑨ 对外发布公共信息和进行通信的模板；

⑩ 对市场中的同行进行参照等基准测试；

⑪ 更新的时间表，以确保计划符合现行的法律和监管环境。