コンプライアンス管理のベストプラクティス

公開: 2019-01-10

現在、新しい規制と更新された業界規制が多くのビジネスを管理しているため、コンプライアンス管理がすべての業界の焦点となっています。 ほとんどの場合、コンプライアンスの要件には、スプレッドシートの徹底的な検査が含まれます。

有名なサイバーセキュリティスペシャリストは、データ環境を確認し、制御の有効性を確認することをお勧めします。 これは、起こりうるデータ侵害を軽減するのに役立ちます。 コンプライアンスをビジネスの一部にすることが重要です。

それでも、データがさまざまな部門で封印されたままの場合、正確で更新されたデータを維持するのは難しいかもしれません。

効果的な企業コンプライアンスプログラムを作成するためのヒント

ビジネスコンプライアンスプログラムを実施するには、包括的な法律および業界の必需品に専念するチームを作成する必要があります。 以前は、最高情報セキュリティ責任者(CISO)または最高情報責任者がコンプライアンスと協力して企業コンプライアンスプログラムを作成していました。 しかし、物事は別の方向に進んでいます。

あなたのビジネスは、部門間のコミュニケーションを構築する必要があります。 あなたのビジネスは、運用を容易にするために、より多くのサービスとしてのソフトウェア(SaaS)を組み込むでしょう。 したがって、より多くの内部株主協議を組織する必要があります。

たとえば、人事部門は、さまざまなタスクを効率的に実行できるようにするために、いくつかのSaaSプラットフォームを使用することを選択する場合があります。 これらのプラットフォームには、支払いを行う労働者のための請求媒体と時間を追跡するためのプラットフォームが含まれます。 また、マーケティング部門はソーシャルメディアスケジューリングプラットフォームと連絡先データベースプラットフォームを使用している可能性があります。 これらすべてのSaaS対応プラットフォームは、コンプライアンスリスクを高める役割を果たします。

このため、企業コンプライアンスプログラムは、すべての資産をログに記録するための部門間チームで構成する必要があります。

効果的なリスク管理プログラムの作成

一緒になって、彼らの資産がもたらすリスクを評価するのは、あなたが作成したチームの仕事です。 効果的なリスク管理プログラムを作成するには、侵害に対して由緒あるデータの種類と、それがビジネスにどのように影響するかを判断する必要があります。

まず、すべてのデジタルデータ資産のカタログを作成する必要があります。 これには、システムとネットワーク、アプリケーション、およびソフトウェアからのすべてのデータが含まれます。

次に、それらのアセットに保存されているデータを確認し、送信して処理します。 デジタル資産が相互作用するデータの種類によって、関連するリスクのレベルが変わる可能性があることに注意してください。

確保する必要のある情報は、さまざまなものによって変化する傾向があります。

これも:

  • 誰が使っているのか
  • 彼らがそれとどのように相互作用しているか
  • それは何ですか
  • 保存場所
  • それがどのように伝達されるか
  • ベンダーのリスクを管理する方法

現在、SaaSプラットフォームの使用は一流で増加しています。 このため、ベンダーのリスクを管理することは、より深刻な苦境になっています。 ほとんどの規制順守要件は、サプライチェーンのセキュリティ監視の取得に注意を払っています。

ベンダーを監督することで、効果的なコンプライアンスプログラムを作成するために必要な事務処理の山が増えます。 したがって、ベンダー、人間、およびデジタルをカタログ化し、セキュリティ管理を確実に維持するようにしてください。

  • 社内株主がベンダーを監視するための役割を知っていることを確認します
  • ネットワーク、システム、およびソフトウェアへのベンダーのアクセスと承認を記録する
  • ベンダーの管理を効果的に監視できることを証明する最新のリストを用意する
  • セキュリティ管理を確認し、フィードバックを記録し、完了した内部または外部の監査を確認してください
  • このすべての作業には、さまざまな場所に保存するすべてのベンダーからのドキュメントが必要です。

スプレッドシートを効果的なコンプライアンス管理ツールにする理由は何ですか?

ほとんどのコンプライアンス管理システムは、使いやすく安価であるため、スプレッドシートの使用を開始しました。 また、コントロールを簡単に文書化することもできます。 クラウドドライバーは、ドキュメントを共有および編集する簡単な方法を提供しました。 それで、人々はより多くのお金を使わずに内部株主の説明責任を確立するためのより良い方法を見つけました。

いくつかの要因により、ビジネスの規模が拡大するにつれてスプレッドシートが増加しました。 ベンダーの数が増えるにつれて、スプレッドシートにさらに多くのタブが追加されました。

さらに、クラウドドライバーは追加した最新の情報を保存するため、一部のエラーの追跡は困難でした。 当事者がレビューをうまく管理したかどうかがわからなかったため、さまざまなドキュメントレコードを比較することは圧倒的でした。

セキュリティパッチなどのコントロールの更新を適切に文書化することは困難でした。

この作業は、潜在的なコンプライアンスリスクをもたらすほど、困難で時間がかかりました。

コンプライアンス管理の負担をどのように軽減できますか?

コンプライアンス管理プログラムを監視するときに安心できる製品が市場に出回っています。

ドキュメントへの役割ベースのアクセスを確立できる、使いやすいシステムが付属しています。 したがって、内部株主は必要なデータのみを取得します。 ドキュメントを職務と機能にリンクすることにより、ドキュメントへのアクセスを作成します。 これにより、HRはベンダーに変更を加えることができ、マーケティング部門はベンダーにアクセスできるようになります。 これにより、コンプライアンスエグゼクティブは、適切なドキュメントを確保しながら、変更を効果的に追跡できます。

また、それはあなたが人々に役割を割り当てて彼らの進歩を追跡することを可能にするワークフローと管理能力を提供します。 電子メールの更新やリクエストを送信する必要はありません。

このシステムは監査文書の信頼できる情報源であるため、監査要求に関するフィードバックを提供する時間を節約し、監査プロセスにかかる費用を節約できます。

編集者注: Ken Lynchは、エンタープライズソフトウェアのスタートアップのベテランであり、労働者を仕事に駆り立てるものと、仕事をより魅力的にする方法に常に魅了されてきました。 ケンはまさにそれを追求するために相互主義を設立しました。 彼は、より社会的志向の企業市民を作成するために、従業員を会社のガバナンス、リスク、およびコンプライアンスの目標に関与させるというこのミッションベースの目標で、Reciprocityの成功を推進してきました。 ケンはMITでコンピュータサイエンスと電気工学の理学士号を取得しています。 詳細については、ReciprocityLabs.comをご覧ください。

これについて何か考えがありますか? コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。

編集者の推奨事項:

  • 効果的なワークフロー監査管理プロセス
  • コンプライアンスと記録管理とは
  • コンプライアンス管理システムとは
  • ネットワークセグメンテーションとPCIコンプライアンス
  • SOC2監査の範囲