Was ist Compliance & Record Management

Veröffentlicht: 2019-01-10

Die Auskunftsanfrage eines Internen Revisors zur Aktenführung und Dokumentation löst bei vielen Abteilungsleitern Angst und Unsicherheit aus.

Sie sollten nicht nur die Aufbewahrung über viele Jahre erreichen, sondern auch sicherstellen, dass die Informationen angemessen geschützt sind.

Definition von Records Management

Records Management bedeutet, Informationen zu dokumentieren und über den erforderlichen Zeitraum zu schützen. Mit den technologischen Fortschritten ist es für Unternehmen möglich geworden, Daten von Personen zu erhalten, mit denen sie möglicherweise niemals Geschäfte tätigen! Dies kann in Form von Bewerbungen und Marketinghilfen erfolgen. Sie müssen über einen geeigneten Mechanismus verfügen, um diese Dokumente zum richtigen Zeitpunkt zu sammeln, zu sortieren, zu speichern und zu entsorgen.

Einige Aufsichtsbehörden konzentrieren sich nur auf Daten, die sich auf Mitarbeiter und Kunden beziehen. Einige der Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) verlangen jedoch, dass Sie alle Daten, mit denen Sie interagieren, vor jeglicher Form von Datenschutzverletzungen schützen. Beispielsweise können von Ihren Vermarktern gesammelte Informationen nach dem Programm zur Lead-Generierung unnötig erscheinen, aber es ist ein erhebliches Datenrisiko für Ihr Unternehmen.

Typische Aufbewahrungszeitpläne: Was sind sie?

Verschiedene Branchen haben unterschiedliche Zeitpläne für die Aufbewahrung von Aufzeichnungen. Beispielsweise müssen alle von Banken gesammelten Informationen 5 Jahre lang gespeichert werden. Die am häufigsten verwendeten Kategorien von Datenaufbewahrungsprogrammen umfassen 3 Jahre, 5 Jahre, 7 Jahre, 10 Jahre oder permanente Aufbewahrungszeitpläne.

Wie sich die Vorratsdatenspeicherung auf Ihr Unternehmen auswirkt

Die Entwicklung technologisch fortschrittlicher Datenerfassungsmethoden hat den Datenaufbewahrungs- und -schutzprozess erschwert. Im Gegensatz zu früher, wo Sie Dokumente sammeln und in einem bewachten Lagerhaus aufbewahren konnten, ist die heutige Umgebung hochgradig digital! Dies erfordert, dass Sie in Datenspeicherprogramme investieren und Sicherheit gegen Datenschutzverletzungen schaffen.

Sie sollten auch sicherstellen, dass Sie über geeignete Tracking-Systeme verfügen. Dies hilft Ihnen, Dokumente, die ihre Aufbewahrungsfrist überschritten haben, einfach zu entsorgen.

5 entscheidende Schritte zum Erstellen einer Records Management-Richtlinie

Bei der Vorbereitung auf diese Richtlinie müssen Sie die ISO 15489-Richtlinien verwenden. Stellen Sie außerdem sicher, dass Sie Maßnahmen entwickeln, um die Einhaltung sicherzustellen. Die Schritte umfassen:

Überprüfen Sie die Assets und Speicherorte

Stellen Sie sicher, dass Sie alle von Ihnen gespeicherten Informationen und die spezifischen Speicherorte verstehen. Dies hilft Ihnen, die Daten basierend auf Parametern zu sortieren, die zur Erhöhung der Sicherheit gegen Datenschutzverletzungen erforderlich sind. Die Aufzeichnungen können wie folgt klassifiziert werden:

  • Betriebsbereit . Dies sind die Informationen, die für den täglichen Geschäftsbetrieb unerlässlich sind. Fügen Sie Kundendaten, Mitarbeiterinformationen, Organigramme, Steuerinformationen, Datenzugriff und -autorisierung, Marketinginformationen, Personaldokumente und Protokolle für Vorstandssitzungen hinzu.
  • Rechtlich . Diese Daten drehen sich um die gesetzlichen Verpflichtungen eines Unternehmens. Es enthält Satzungen, Klagen, Informationen von Drittanbietern, Einverständniserklärungen und Informationen zu Versicherungspolicen.
  • Notfall . Dies umfasst alle Informationen, die zur Gewährleistung der Geschäftskontinuität und zur Behebung von Katastrophen erforderlich sind. Es umfasst die Notfallzugangsberechtigung, Einrichtungspläne, Richtlinien und Verfahren, Sicherheitscodes und technische Systemdokumentation.
  • Finanziell . Diese Informationen umfassen Vermögenswerte, Verbindlichkeiten und Finanzhistorie. Es enthält die Investitionsdetails, Gehaltsabrechnungsinformationen, Hauptbücher und Bankdokumente.
  • Basierend auf Standort . Die Informationen können in Netzwerken, Servern, Cloud-Speichern, Onsite- und Offsite-Standorten und Backups gespeichert werden.

Überprüfen Sie die Datenbedeutung und bewerten Sie das Risiko

Es ist entscheidend, dass sich alle Richtlinien auf wichtige Informationen konzentrieren, deren Eingriff zu einer Unterbrechung oder einem finanziellen Verlust führen würde. Diese Fragen sind während der Überprüfung notwendig:

  • Sind die Informationen für die Geschäftskontinuität erforderlich?
  • Führt der Datenverlust zu einem finanziellen Verlust?
  • Ist es teuer, die Daten zu rekonstruieren?
  • Wie schnell sollten Sie Informationen im Falle eines Verlustes wiederherstellen?
  • Können die Informationen aus anderen Quellen bezogen werden?
  • Sind die Dokumente physisch oder digital?

Überprüfen Sie die Risiken für die Informationen

Bei der Entscheidung über die Aufbewahrungsfrist sollten Sie den langfristigen Bedarf der Informationen und die Kosten für die Wiederherstellung im Schadensfall berücksichtigen. Das sind die Leitfragen:

  • Wer ist für die Daten verantwortlich?
  • Haben Sie angemessene Kontrollen wie Verschlüsselung und Firewalls?
  • Welches Format haben Ihre Informationen?
  • Können alle Transaktionen dokumentiert werden?
  • Wer kann auf die Informationen zugreifen?
  • Wie regulieren/authentifizieren Sie die Kontrolle?

Überwachung des Schutzes von Aufzeichnungen

Wenn Sie Ihre Informationen nicht regelmäßig überwachen, leiden Sie unter Integritätsverletzungen!

  • Überwachen Sie häufig alle Software, Server und Netzwerke auf Risiken?
  • Aktualisieren Sie Ihre Software?
  • Greifen gekündigte Mitarbeiter weiterhin auf Daten zu?
  • Überwachen Sie die externen Bedrohungen?
  • Überprüfst du deinen Zugang?

Entsorgung von Aufzeichnungen

Sie sollten einen Plan zur Entsorgung Ihrer Unterlagen haben. Stellen Sie sicher, dass Sie dabei nicht gegen eine regulatorische Anforderung verstoßen. Stellen Sie sicher, dass Sie über Backups und eine verifizierte Entsorgungsstelle verfügen, um den Vorgang abzuschließen.

Einsatz von Technologie im Records Management

Die Verwendung automatisierter Tools hilft Ihnen, alle Ihre Daten (sowohl physisch als auch digital) ordentlich zu organisieren. Sie sparen Zeit und Ressourcen, die für den Auditprozess erforderlich sind, und erleichtern so die Einhaltung der Vorschriften der Aufsichtsbehörden.

Anmerkung des Herausgebers: Ken Lynch ist ein erfahrener Startup-Experte für Unternehmenssoftware, der sich schon immer dafür interessiert hat, was Mitarbeiter zur Arbeit antreibt und wie man die Arbeit ansprechender gestalten kann. Ken gründete Reciprocity, um genau das zu verfolgen. Er hat den Erfolg von Reciprocity mit diesem missionsbasierten Ziel vorangetrieben, Mitarbeiter mit den Governance-, Risiko- und Compliance-Zielen ihres Unternehmens zu beschäftigen, um sozial denkendere Unternehmensbürger zu schaffen. Ken erwarb seinen BS in Informatik und Elektrotechnik am MIT. Erfahren Sie mehr unter ReciprocityLabs.com.

Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.

Empfehlungen der Redaktion:

  • Netzwerksegmentierung und PCI-Konformität
  • PCI-DSS-Protokollverwaltung
  • Scoping eines SOC2-Audits
  • Prüfungsanforderungen – Privatunternehmen in den USA
  • Risikomanagementplan – Wozu dient er?