Apa itu kepatuhan & manajemen catatan?

Diterbitkan: 2019-01-10

Permintaan auditor internal untuk informasi tentang manajemen arsip dan dokumentasi diterjemahkan menjadi ketakutan dan ketidakpastian bagi banyak kepala departemen.

Anda tidak hanya harus mencapai retensi selama bertahun-tahun tetapi juga memastikan bahwa informasi tersebut dilindungi secara memadai.

Definisi Manajemen Arsip

Manajemen arsip memerlukan pendokumentasian informasi dan melindunginya selama periode yang diperlukan. Dengan kemajuan teknologi, bisnis menjadi mungkin untuk mendapatkan data untuk orang-orang yang mungkin tidak pernah bertransaksi dengan mereka! Ini mungkin datang dalam bentuk lamaran pekerjaan dan pembantu pemasaran. Anda harus memiliki mekanisme yang tepat untuk mengumpulkan, menyortir, menyimpan, dan membuang dokumen-dokumen ini pada waktu yang tepat.

Beberapa badan pengatur hanya akan fokus pada data yang terkait dengan karyawan dan pelanggan. Namun, beberapa peraturan seperti General Data Protection Regulation (GDPR) mengharuskan Anda melindungi semua data yang berinteraksi dengan Anda dari segala bentuk pelanggaran. Misalnya, informasi yang dikumpulkan oleh pemasar Anda mungkin tampak tidak perlu setelah program pembuatan prospek, tetapi ini merupakan risiko data yang signifikan bagi bisnis Anda.

Jadwal Retensi Khas: Apa itu?

Berbagai industri memiliki jadwal penyimpanan catatan yang berbeda. Misalnya, persyaratan bahwa semua informasi yang dikumpulkan oleh bank disimpan selama 5 tahun. Kategori yang paling umum digunakan dari program retensi data termasuk 3 tahun, 5 tahun, 7 tahun, 10 tahun, atau jadwal retensi permanen.

Bagaimana Retensi Data Mempengaruhi Organisasi Anda

Perkembangan metode pengumpulan data yang berteknologi canggih telah memperumit proses penyimpanan dan perlindungan data. Tidak seperti dulu di mana Anda bisa mengumpulkan dokumen dan menyimpannya di gudang yang dijaga, lingkungan saat ini sangat digital! Ini mengharuskan Anda berinvestasi dalam program penyimpanan data dan melembagakan keamanan terhadap pelanggaran data.

Anda juga harus memastikan bahwa Anda memiliki sistem pelacakan yang tepat. Ini akan membantu Anda membuang dokumen yang telah melampaui batas penyimpanannya dengan mudah.

5 Langkah Penting untuk Membuat Kebijakan Manajemen Arsip

Anda harus menggunakan pedoman ISO 15489 saat mempersiapkan kebijakan ini. Juga, pastikan bahwa Anda merancang langkah-langkah untuk memastikan kepatuhan. Langkah-langkahnya meliputi:

Tinjau Aset dan Lokasi Penyimpanan

Pastikan Anda memahami semua informasi yang Anda simpan dan lokasi penyimpanan tertentu. Ini akan membantu Anda untuk menyortir data berdasarkan parameter yang diperlukan untuk meningkatkan keamanan terhadap pelanggaran data. Arsip dapat diklasifikasikan menjadi:

  • operasional . Ini adalah informasi yang penting untuk operasi bisnis sehari-hari. Meliputi data pelanggan, informasi karyawan, bagan organisasi, informasi perpajakan, akses dan otorisasi data, informasi pemasaran, dokumen sumber daya manusia, dan notulen rapat Direksi.
  • Hukum . Data ini berkisar pada kewajiban hukum suatu bisnis. Ini mencakup anggaran dasar, tuntutan hukum, informasi vendor pihak ketiga, formulir persetujuan, dan informasi polis asuransi.
  • Darurat . Ini melibatkan semua informasi yang diperlukan untuk memastikan kelangsungan bisnis dan menyelesaikan bencana. Ini termasuk otorisasi akses darurat, cetak biru fasilitas, kebijakan dan prosedur, kode keamanan, dan dokumentasi sistem teknis.
  • Keuangan . Informasi ini mencakup aset, kewajiban, dan riwayat keuangan. Ini termasuk rincian investasi, informasi penggajian, buku besar, dan dokumen perbankan.
  • Berdasarkan Lokasi . Informasi dapat disimpan di jaringan, server, penyimpanan cloud, lokasi di dalam dan di luar lokasi, dan cadangan.

Tinjau Pentingnya Data dan Risiko Nilai

Sangat penting bahwa semua kebijakan fokus pada informasi penting yang campur tangan akan mengakibatkan diskontinuitas atau kerugian finansial. Pertanyaan-pertanyaan ini diperlukan selama peninjauan:

  • Apakah informasi diperlukan untuk kelangsungan bisnis?
  • Akankah hilangnya data menyebabkan kerugian moneter?
  • Apakah mahal untuk merekonstruksi data?
  • Seberapa cepat Anda harus memulihkan informasi jika terjadi kehilangan?
  • Apakah informasi tersebut dapat diperoleh dari sumber lain?
  • Apakah dokumennya fisik atau digital?

Tinjau Risiko terhadap Informasi

Saat memutuskan periode penyimpanan, Anda harus mempertimbangkan kebutuhan jangka panjang dari informasi dan biaya pemulihan jika terjadi kerugian. Ini adalah pertanyaan panduan:

  • Siapa yang bertanggung jawab atas data?
  • Apakah Anda memiliki kontrol yang memadai seperti enkripsi dan firewall?
  • Apa format untuk informasi Anda?
  • Apakah mungkin untuk mendokumentasikan semua transaksi?
  • Siapa yang dapat mengakses informasi?
  • Bagaimana Anda mengatur/mengotentikasi kontrol?

Memantau Perlindungan Catatan

Jika Anda sering gagal memantau informasi Anda, Anda akan mengalami ketidakpatuhan integritas!

  • Apakah Anda sering memantau semua perangkat lunak, server, dan jaringan dari risiko?
  • Apakah Anda memperbarui perangkat lunak Anda?
  • Apakah karyawan yang diberhentikan terus mengakses data?
  • Apakah Anda memantau ancaman eksternal?
  • Apakah Anda meninjau akses Anda?

Pembuangan Catatan

Anda harus memiliki rencana untuk membuang catatan Anda. Pastikan bahwa Anda tidak melanggar persyaratan peraturan dalam prosesnya. Pastikan Anda memiliki cadangan dan agen pembuangan terverifikasi untuk menyelesaikan proses.

Penggunaan Teknologi dalam Manajemen Arsip

Penggunaan alat otomatis membantu Anda mengatur semua data Anda (baik fisik maupun digital dengan rapi. Ini menghemat waktu dan sumber daya yang diperlukan untuk proses audit sehingga memudahkan Anda untuk mematuhi badan pengatur.

Catatan Editor: Ken Lynch adalah veteran startup perangkat lunak perusahaan, yang selalu terpesona dengan apa yang mendorong pekerja untuk bekerja dan bagaimana membuat pekerjaan lebih menarik. Ken mendirikan Timbal Balik untuk mengejar hal itu. Dia telah mendorong kesuksesan Reciprocity dengan tujuan berbasis misi ini untuk melibatkan karyawan dengan tujuan tata kelola, risiko, dan kepatuhan perusahaan mereka untuk menciptakan warga korporat yang lebih berpikiran sosial. Ken memperoleh gelar BS di bidang Ilmu Komputer dan Teknik Elektro dari MIT. Pelajari lebih lanjut di ReciprocityLabs.com.

Punya pemikiran tentang ini? Beri tahu kami di bawah di komentar atau bawa diskusi ke Twitter atau Facebook kami.

Rekomendasi Editor:

  • Segmentasi jaringan dan kepatuhan PCI
  • Manajemen log PCI DSS
  • Mencakup audit SOC2
  • Persyaratan audit – Perusahaan swasta AS
  • Rencana manajemen risiko – Untuk apa?