ما هو الامتثال وإدارة السجلات

نشرت: 2019-01-10

يترجم طلب المدقق الداخلي للحصول على معلومات حول إدارة السجلات والتوثيق إلى خوف وشكوك لكثير من رؤساء الأقسام.

يجب ألا تحقق الاحتفاظ على مدار سنوات عديدة فحسب ، بل يجب أيضًا ضمان حماية المعلومات بشكل كافٍ.

تعريف إدارة السجلات

تتضمن إدارة السجلات توثيق المعلومات وحمايتها خلال الفترة المطلوبة. مع التقدم التكنولوجي ، أصبح من الممكن للشركات الحصول على بيانات للأشخاص الذين قد لا تتعامل معهم أبدًا! قد يأتي هذا في شكل طلبات عمل ومساعدين تسويق. يجب أن يكون لديك آلية مناسبة لجمع هذه المستندات وفرزها وتخزينها والتخلص منها في الوقت المناسب.

ستركز بعض الهيئات التنظيمية فقط على البيانات المتعلقة بالموظفين والعملاء. ومع ذلك ، تتطلب بعض اللوائح مثل اللائحة العامة لحماية البيانات (GDPR) أن تحمي جميع البيانات التي تتفاعل معها من أي شكل من أشكال الانتهاك. على سبيل المثال ، قد تبدو المعلومات التي تم جمعها من قبل جهات التسويق غير ضرورية بعد برنامج إنشاء قوائم العملاء المحتملين ، لكنها تمثل خطرًا كبيرًا على البيانات بالنسبة لعملك.

جداول الاستبقاء النموذجية: ما هي؟

الصناعات المختلفة لديها جداول مختلفة للاحتفاظ بالسجلات. على سبيل المثال ، من الضروري تخزين جميع المعلومات التي تجمعها البنوك لمدة 5 سنوات. تشمل الفئات الأكثر استخدامًا لبرامج الاحتفاظ بالبيانات 3 سنوات أو 5 سنوات أو 7 سنوات أو 10 سنوات أو جداول الاحتفاظ الدائم.

كيف يؤثر الاحتفاظ بالبيانات على مؤسستك

أدى تطوير طرق جمع البيانات المتقدمة تقنيًا إلى تعقيد عملية الاحتفاظ بالبيانات وحمايتها. على عكس الأيام الخوالي حيث يمكنك جمع المستندات وتخزينها في مستودع خاضع للحراسة ، فإن بيئة اليوم رقمية للغاية! يتطلب هذا أن تستثمر في برامج تخزين البيانات وتؤسس الأمن ضد خرق البيانات.

يجب عليك أيضًا التأكد من أن لديك أنظمة تتبع مناسبة. سيساعدك هذا على التخلص من المستندات التي تجاوزت حد الاحتفاظ بها بسهولة.

5 خطوات حاسمة لإنشاء سياسة إدارة السجلات

أنت مطالب باستخدام إرشادات ISO 15489 عند التحضير لهذه السياسة. تأكد أيضًا من وضع تدابير لضمان الامتثال. تشمل الخطوات ما يلي:

مراجعة الأصول ومواقع التخزين

تأكد من فهمك لجميع المعلومات التي تقوم بتخزينها ومواقع التخزين المحددة. سيساعدك هذا على فرز البيانات بناءً على المعلمات اللازمة لتعزيز الأمان ضد خرق البيانات. يمكن تصنيف السجلات على النحو التالي:

  • تشغيلية . هذه هي المعلومات الضرورية لعمليات الأعمال اليومية. قم بتضمين بيانات العميل ، ومعلومات الموظف ، والمخططات التنظيمية ، والمعلومات الضريبية ، والوصول إلى البيانات والتفويض ، ومعلومات التسويق ، ووثائق الموارد البشرية ، ومحاضر اجتماعات مجلس الإدارة.
  • قانوني . تدور هذه البيانات حول المسؤوليات القانونية للشركة. وهي تتضمن مواد التأسيس والدعاوى القضائية ومعلومات البائعين الخارجيين ونماذج الموافقة ومعلومات بوليصة التأمين.
  • الطوارئ . يتضمن ذلك جميع المعلومات المطلوبة لضمان استمرارية الأعمال وحل الكوارث. وهي تشمل إذن الوصول في حالات الطوارئ ومخططات المنشأة والسياسات والإجراءات ورموز الأمان ووثائق النظام الفنية.
  • المالية . تتضمن هذه المعلومات الأصول والخصوم والتاريخ المالي. يتضمن تفاصيل الاستثمارات ومعلومات كشوف المرتبات ودفاتر الأستاذ والمستندات المصرفية.
  • بناء على الموقع . يمكن تخزين المعلومات في الشبكات والخوادم والتخزين السحابي والمواقع في الموقع وخارجه والنسخ الاحتياطية.

مراجعة أهمية البيانات ومعدل المخاطر

من الأهمية بمكان أن تركز جميع السياسات على المعلومات الهامة التي قد يؤدي تدخلها إلى انقطاع أو خسارة مالية. هذه الأسئلة ضرورية أثناء المراجعة:

  • هل المعلومات المطلوبة لاستمرارية العمل؟
  • هل سيؤدي فقدان البيانات إلى خسارة مالية؟
  • هل هو مكلف لإعادة بناء البيانات؟
  • ما مدى سرعة استعادة المعلومات في حالة فقدها؟
  • هل يمكن الحصول على المعلومات من مصادر أخرى؟
  • هل المستندات مادية أم رقمية؟

راجع مخاطر المعلومات

عند تحديد فترة الاستبقاء ، يجب مراعاة الحاجة طويلة الأجل للمعلومات وتكلفة الاسترداد في حالة الخسارة. هذه هي الأسئلة الإرشادية:

  • من المسؤول عن البيانات؟
  • هل لديك ضوابط كافية مثل التشفير والجدران النارية؟
  • ما هو شكل المعلومات الخاصة بك؟
  • هل من الممكن توثيق جميع المعاملات؟
  • من يمكنه الوصول إلى المعلومات؟
  • كيف تنظم / تصدق السيطرة؟

مراقبة حماية السجلات

إذا فشلت في مراقبة معلوماتك بشكل متكرر ، فسوف تعاني من عدم الامتثال للنزاهة!

  • هل تراقب بشكل متكرر جميع البرامج والخوادم والشبكات بحثًا عن المخاطر؟
  • هل تقوم بتحديث برنامجك؟
  • هل يستمر الموظفون الذين تم إنهاء خدمتهم في الوصول إلى البيانات؟
  • هل تراقب التهديدات الخارجية؟
  • هل تراجع وصولك؟

التخلص من السجلات

يجب أن يكون لديك خطة للتخلص من سجلاتك. تأكد من أنك لا تنتهك أحد المتطلبات التنظيمية في هذه العملية. تأكد من أن لديك نسخ احتياطية ووكالة تخلص معتمدة لإكمال العملية.

استخدام التكنولوجيا في إدارة السجلات

يساعدك استخدام الأدوات الآلية على تنظيم جميع بياناتك (المادية والرقمية على حدٍ سواء بدقة ، حيث يوفر لك الوقت والموارد اللازمة لعملية التدقيق ، مما يسهل الامتثال للهيئات التنظيمية.

ملاحظة المحرر: كين لينش هو أحد المخضرمين في بدء تشغيل برمجيات المؤسسات ، وكان دائمًا مفتونًا بما يدفع العمال إلى العمل وكيفية جعل العمل أكثر جاذبية. أسس كين مبدأ المعاملة بالمثل لمتابعة ذلك بالضبط. لقد دفع نجاح Reciprocity من خلال هذا الهدف القائم على المهمة المتمثل في إشراك الموظفين في أهداف الحوكمة والمخاطر والامتثال لشركتهم من أجل خلق المزيد من مواطني الشركات ذوي التفكير الاجتماعي. حصل كين على درجة البكالوريوس في علوم الكمبيوتر والهندسة الكهربائية من معهد ماساتشوستس للتكنولوجيا. تعرف على المزيد على ReciprocityLabs.com.

هل لديك أي أفكار حول هذا؟ أخبرنا أدناه في التعليقات أو انقل المناقشة إلى Twitter أو Facebook.

توصيات المحررين:

  • تجزئة الشبكة والامتثال لـ PCI
  • إدارة سجل PCI DSS
  • تحديد نطاق تدقيق SOC2
  • متطلبات التدقيق - الشركات الأمريكية الخاصة
  • خطة إدارة المخاطر - ما الغرض منها؟