Qu'est-ce que la conformité et la gestion des enregistrements ?

Publié: 2019-01-10

La demande d'informations d'un auditeur interne sur la gestion des documents et la documentation se traduit par des craintes et des incertitudes pour de nombreux chefs de service.

Vous devez non seulement assurer la conservation sur de nombreuses années, mais également vous assurer que les informations sont correctement protégées.

Définition de la gestion des documents

La gestion des documents consiste à documenter les informations et à les protéger pendant la période requise. Avec les avancées technologiques, il est devenu possible pour les entreprises d'obtenir des données pour des personnes avec lesquelles elles ne transigeront peut-être jamais ! Cela peut prendre la forme de demandes d'emploi et d'aides au marketing. Vous devez disposer d'un mécanisme approprié pour collecter, trier, stocker et éliminer ces documents au moment opportun.

Certains organismes de réglementation se concentreront uniquement sur les données relatives aux employés et aux clients. Cependant, certaines réglementations telles que le Règlement général sur la protection des données (RGPD) exigent que vous protégiez toutes les données avec lesquelles vous interagissez contre toute forme de violation. Par exemple, les informations collectées par vos spécialistes du marketing peuvent sembler inutiles après le programme de génération de prospects, mais il s'agit d'un risque important pour les données de votre entreprise.

Calendriers de conservation typiques : de quoi s'agit-il ?

Diverses industries ont des calendriers de conservation des dossiers différents. Par exemple, il est obligatoire que toutes les informations collectées par les banques soient conservées pendant 5 ans. Les catégories de programmes de conservation des données les plus couramment utilisées comprennent les calendriers de conservation de 3 ans, 5 ans, 7 ans, 10 ans ou permanents.

Comment la conservation des données affecte votre organisation

Le développement de méthodes de collecte de données technologiquement avancées a compliqué le processus de conservation et de protection des données. Contrairement à l'ancien temps où vous pouviez collecter des documents et les stocker dans un entrepôt gardé, l'environnement d'aujourd'hui est hautement numérique ! Cela nécessite que vous investissiez dans des programmes de stockage de données et instituiez une sécurité contre les violations de données.

Vous devez également vous assurer que vous disposez de systèmes de suivi appropriés. Cela vous aidera à vous débarrasser facilement des documents qui ont dépassé leur limite de conservation.

5 étapes cruciales pour créer une politique de gestion des documents

Vous êtes tenu d'utiliser les directives ISO 15489 lors de la préparation de cette politique. Assurez-vous également de concevoir des mesures pour assurer la conformité. Les étapes comprennent :

Examiner les actifs et les emplacements de stockage

Assurez-vous de comprendre toutes les informations que vous stockez et les emplacements de stockage spécifiques. Cela vous aidera à trier les données en fonction des paramètres nécessaires pour renforcer la sécurité contre la violation de données. Les enregistrements peuvent être classés comme suit :

  • Opérationnel . Ce sont les informations essentielles pour les opérations commerciales quotidiennes. Inclure les données client, les informations sur les employés, les organigrammes, les informations fiscales, l'accès aux données et l'autorisation, les informations marketing, les documents de ressources humaines et les procès-verbaux des réunions du conseil d'administration.
  • Juridique . Ces données tournent autour des responsabilités légales d'une entreprise. Il comprend les statuts constitutifs, les poursuites judiciaires, les informations sur les fournisseurs tiers, les formulaires de consentement et les informations sur les polices d'assurance.
  • Urgence . Il s'agit de toutes les informations nécessaires pour assurer la continuité des activités et résoudre les sinistres. Il comprend l'autorisation d'accès d'urgence, les plans de l'installation, les politiques et procédures, les codes de sécurité et la documentation technique du système.
  • Financière . Ces informations concernent les actifs, les passifs et l'historique financier. Il comprend les détails des investissements, les informations sur la paie, les registres et les documents bancaires.
  • Basé sur l'emplacement . Les informations peuvent être stockées dans les réseaux, les serveurs, le stockage en nuage, les emplacements sur site et hors site et les sauvegardes.

Examiner l'importance des données et évaluer le risque

Il est essentiel que toutes les politiques se concentrent sur des informations cruciales dont l'interférence entraînerait une discontinuité ou une perte financière. Ces questions sont nécessaires lors de l'examen :

  • Les informations sont-elles nécessaires à la continuité des activités ?
  • La perte de données entraînera-t-elle une perte monétaire ?
  • Est-ce coûteux de reconstituer les données ?
  • À quelle vitesse devez-vous récupérer les informations en cas de perte ?
  • Les informations peuvent-elles être obtenues à partir d'autres sources ?
  • Les documents sont-ils physiques ou numériques ?

Examiner les risques liés aux informations

Lorsque vous décidez de la période de conservation, vous devez tenir compte du besoin à long terme des informations et du coût de récupération en cas de perte. Voici les questions directrices :

  • Qui est en charge des données ?
  • Disposez-vous de contrôles adéquats tels que le cryptage et les pare-feu ?
  • Quel est le format de vos informations ?
  • Est-il possible de documenter toutes les transactions ?
  • Qui peut accéder aux informations ?
  • Comment réglementez-vous/authentifiez-vous le contrôle ?

Surveillance de la protection des enregistrements

Si vous ne surveillez pas fréquemment vos informations, vous souffrirez d'un non-respect de l'intégrité !

  • Surveillez-vous fréquemment tous les logiciels, serveurs et réseaux pour détecter les risques ?
  • Mettez-vous à jour votre logiciel ?
  • Les employés licenciés continuent-ils d'accéder aux données ?
  • Surveillez-vous les menaces externes ?
  • Êtes-vous en train de revoir votre accès ?

Élimination des dossiers

Vous devriez avoir un plan pour vous débarrasser de vos dossiers. Assurez-vous de ne pas enfreindre une exigence réglementaire au cours du processus. Assurez-vous d'avoir des sauvegardes et une agence d'élimination vérifiée pour terminer le processus.

Utilisation de la technologie dans la gestion des documents

L'utilisation d'outils automatisés vous aide à organiser soigneusement toutes vos données (physiques et numériques). Cela vous permet d'économiser du temps et des ressources nécessaires au processus d'audit, ce qui facilite la mise en conformité avec les organismes de réglementation.

Note de l'éditeur : Ken Lynch est un vétéran des startups de logiciels d'entreprise, qui a toujours été fasciné par ce qui pousse les travailleurs à travailler et comment rendre le travail plus attrayant. Ken a fondé Reciprocity pour poursuivre exactement cela. Il a propulsé le succès de Reciprocity avec cet objectif basé sur la mission d'impliquer les employés dans les objectifs de gouvernance, de risque et de conformité de leur entreprise afin de créer des entreprises citoyennes plus soucieuses de la société. Ken a obtenu son BS en informatique et en génie électrique du MIT. En savoir plus sur ReciprocityLabs.com.

Avez-vous des idées à ce sujet? Faites-le nous savoir ci-dessous dans les commentaires ou transférez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

  • Segmentation du réseau et conformité PCI
  • Gestion des journaux PCI DSS
  • Cadrage d'un audit SOC2
  • Exigences en matière d'audit – Sociétés privées américaines
  • Plan de gestion des risques – A quoi ça sert ?