Che cos'è la conformità e la gestione dei record

Pubblicato: 2019-01-10

La richiesta di informazioni da parte di un revisore interno sulla gestione delle registrazioni e sulla documentazione si traduce in timori e incertezze per molti capi dipartimento.

Non solo dovresti ottenere la conservazione per molti anni, ma anche garantire che le informazioni siano adeguatamente protette.

Definizione di gestione dei record

La gestione dei record implica la documentazione delle informazioni e la loro protezione per il periodo richiesto. Con i progressi tecnologici, è diventato possibile per le aziende ottenere dati per persone con cui potrebbero non effettuare mai transazioni! Questo può presentarsi sotto forma di domande di lavoro e aiuti di marketing. È necessario disporre di un meccanismo adeguato per raccogliere, ordinare, archiviare e smaltire questi documenti al momento opportuno.

Alcuni organismi di regolamentazione si concentreranno solo sui dati relativi a dipendenti e clienti. Tuttavia, alcune delle normative come il Regolamento generale sulla protezione dei dati (GDPR) richiedono che tu protegga tutti i dati con cui interagisci da qualsiasi forma di violazione. Ad esempio, le informazioni raccolte dai tuoi esperti di marketing potrebbero sembrare non necessarie dopo il programma di generazione di lead, ma rappresentano un rischio significativo per i dati per la tua attività.

Programmi di conservazione tipici: cosa sono?

Vari settori hanno programmi di conservazione dei record diversi. Ad esempio, è obbligatorio che tutte le informazioni raccolte dalle banche siano conservate per 5 anni. Le categorie di programmi di conservazione dei dati più comunemente utilizzate includono 3 anni, 5 anni, 7 anni, 10 anni o programmi di conservazione permanente.

In che modo la conservazione dei dati influisce sulla tua organizzazione

Lo sviluppo di metodi di raccolta dati tecnologicamente avanzati ha complicato il processo di conservazione e protezione dei dati. A differenza dei vecchi tempi in cui potevi raccogliere documenti e conservarli in un magazzino custodito, l'ambiente di oggi è altamente digitale! Ciò richiede di investire in programmi di archiviazione dei dati e istituire la sicurezza contro la violazione dei dati.

Dovresti anche assicurarti di avere sistemi di tracciamento adeguati. Questo ti aiuterà a smaltire facilmente i documenti che hanno superato il limite di conservazione.

5 passaggi cruciali per creare una politica di gestione dei record

È necessario utilizzare le linee guida ISO 15489 durante la preparazione per questa politica. Inoltre, assicurati di escogitare misure per garantire la conformità. I passaggi includono:

Esaminare le risorse e le posizioni di archiviazione

Assicurati di comprendere tutte le informazioni che memorizzi e le posizioni di archiviazione specifiche. Questo ti aiuterà a ordinare i dati in base ai parametri necessari per migliorare la sicurezza contro la violazione dei dati. I record possono essere classificati come:

  • Operativo . Queste sono le informazioni essenziali per le operazioni aziendali quotidiane. Includere dati sui clienti, informazioni sui dipendenti, organigrammi, informazioni fiscali, accesso e autorizzazione ai dati, informazioni di marketing, documenti sulle risorse umane e verbali delle riunioni del Consiglio di amministrazione.
  • Legale . Questi dati ruotano attorno alle responsabilità legali di un'azienda. Include statuti, azioni legali, informazioni su fornitori di terze parti, moduli di consenso e informazioni sulla polizza assicurativa.
  • Emergenza . Ciò implica tutte le informazioni necessarie per garantire la continuità aziendale e risolvere i disastri. Include l'autorizzazione all'accesso di emergenza, i progetti delle strutture, le politiche e le procedure, i codici di sicurezza e la documentazione tecnica del sistema.
  • Finanziario . Queste informazioni comportano attività, passività e storia finanziaria. Include i dettagli sugli investimenti, le informazioni sulle buste paga, i libri mastri e i documenti bancari.
  • Basato sulla posizione . Le informazioni possono essere archiviate nelle reti, nei server, nel cloud storage, nelle posizioni in loco e fuori sede e nei backup.

Esaminare l'importanza dei dati e il rischio di tasso

È fondamentale che tutte le politiche si concentrino su informazioni cruciali la cui interferenza comporterebbe una discontinuità o una perdita finanziaria. Queste domande sono necessarie durante la revisione:

  • Le informazioni sono necessarie per la continuità aziendale?
  • La perdita di dati comporterà una perdita monetaria?
  • È costoso ricostruire i dati?
  • Quanto velocemente dovresti recuperare le informazioni in caso di smarrimento?
  • Le informazioni possono essere ottenute da altre fonti?
  • I documenti sono fisici o digitali?

Esaminare i rischi per le informazioni

Quando si decide il periodo di conservazione, è necessario considerare la necessità a lungo termine delle informazioni e il costo del recupero in caso di perdita. Queste le domande guida:

  • Chi è responsabile dei dati?
  • Disponi di controlli adeguati come crittografia e firewall?
  • Qual è il formato delle tue informazioni?
  • È possibile documentare tutte le transazioni?
  • Chi può accedere alle informazioni?
  • Come regolate/autenticate il controllo?

Monitoraggio della protezione dei record

Se non riesci a monitorare le tue informazioni frequentemente, soffrirai di non conformità all'integrità!

  • Monitori spesso tutti i software, i server e le reti per i rischi?
  • Stai aggiornando il tuo software?
  • I dipendenti licenziati continuano ad accedere ai dati?
  • Stai monitorando le minacce esterne?
  • Stai rivedendo il tuo accesso?

Smaltimento dei record

Dovresti avere un piano per smaltire i tuoi record. Assicurati di non violare un requisito normativo nel processo. Assicurati di disporre di backup e di un'agenzia di smaltimento verificata per completare il processo.

Uso della tecnologia nella gestione dei record

L'uso di strumenti automatizzati ti aiuta a organizzare tutti i tuoi dati (sia fisici che digitali in modo ordinato. Ti fa risparmiare tempo e risorse necessarie per il processo di audit, facilitando così il rispetto degli organismi di regolamentazione.

Nota del redattore: Ken Lynch è un veterano delle startup di software aziendali, che è sempre stato affascinato da ciò che spinge i lavoratori a lavorare e da come rendere il lavoro più coinvolgente. Ken ha fondato Reciprocity per perseguire proprio questo. Ha promosso il successo di Reciprocity con questo obiettivo basato sulla missione di coinvolgere i dipendenti con gli obiettivi di governance, rischio e conformità della loro azienda al fine di creare cittadini aziendali più socialmente orientati. Ken ha conseguito la laurea in Informatica e Ingegneria Elettrica presso il MIT. Ulteriori informazioni su ReciprocityLabs.com.

Hai qualche idea su questo? Fatecelo sapere in basso nei commenti o trasferite la discussione sul nostro Twitter o Facebook.

Raccomandazioni della redazione:

  • Segmentazione della rete e conformità PCI
  • Gestione del registro PCI DSS
  • Scoping di un audit SOC2
  • Requisiti di audit – Società private statunitensi
  • Piano di gestione del rischio: a cosa serve?