コンプライアンスと記録管理とは

公開: 2019-01-10

記録管理と文書化に関する情報を求める内部監査人の要求は、多くの部門長にとって恐れと不確実性につながります。

何年にもわたって保持を達成するだけでなく、情報が適切に保護されていることを確認する必要があります。

レコード管理の定義

記録管理では、情報を文書化し、必要な期間にわたって保護する必要があります。 技術の進歩により、企業は決して取引できない人々のデータを取得することが可能になりました! これは、求職やマーケティング支援の形でもたらされる可能性があります。 これらのドキュメントを適切なタイミングで収集、並べ替え、保存、および破棄するには、適切なメカニズムが必要です。

一部の規制機関は、従業員と顧客に関連するデータのみに焦点を当てます。 ただし、一般データ保護規則(GDPR)などの一部の規則では、やり取りするすべてのデータをあらゆる形式の違反から保護する必要があります。 たとえば、マーケターによって収集された情報は、リード生成プログラムの後で不要に見えるかもしれませんが、それはあなたのビジネスにとって重大なデータリスクです。

典型的な保持スケジュール:それらは何ですか?

さまざまな業界で、記録保持スケジュールが異なります。 たとえば、銀行が収集したすべての情報を5年間保存する必要があります。 最も一般的に使用されるデータ保持プログラムのカテゴリには、3年、5年、7年、10年、または永続的な保持スケジュールが含まれます。

データ保持が組織に与える影響

技術的に高度なデータ収集方法の開発により、データの保持と保護のプロセスが複雑になりました。 ドキュメントを収集して保護された倉庫に保管することができた昔とは異なり、今日の環境は高度にデジタル化されています。 これには、データストレージプログラムに投資し、データ侵害に対するセキュリティを確立する必要があります。

また、適切な追跡システムがあることを確認する必要があります。 これにより、保持制限を超えたドキュメントを簡単に破棄できます。

レコード管理ポリシーを作成するための5つの重要なステップ

このポリシーを準備するときは、ISO15489ガイドラインを使用する必要があります。 また、コンプライアンスを確保するための対策を講じることを忘れないでください。 手順は次のとおりです。

資産と保管場所を確認する

保存するすべての情報と特定の保存場所を理解していることを確認してください。 これは、データ侵害に対するセキュリティを強化するために必要なパラメータに基づいてデータを並べ替えるのに役立ちます。 レコードは次のように分類できます。

  • 運用。 これは、日常業務に欠かせない情報です。 顧客データ、従業員情報、組織図、税務情報、データアクセスと承認、マーケティング情報、人事文書、および取締役会の議事録を含めます。
  • 法務。 このデータは、企業の法定責任を中心に展開されます。 これには、定款、訴訟、サードパーティベンダーの情報、同意書、および保険証券情報が含まれます。
  • 緊急。 これには、ビジネスの継続性の確保と災害の解決に必要なすべての情報が含まれます。 これには、緊急アクセス許可、施設の青写真、ポリシーと手順、セキュリティコード、および技術システムのドキュメントが含まれます。
  • 財務。 この情報には、資産、負債、および財務履歴が含まれます。 これには、投資の詳細、給与情報、元帳、および銀行のドキュメントが含まれます。
  • 場所に基づく。 情報は、ネットワーク、サーバー、クラウドストレージ、オンサイトとオフサイトの場所、およびバックアップに保存できます。

データの重要性とレートリスクを確認する

すべてのポリシーが、干渉によって不連続性や経済的損失が発生する重要な情報に焦点を当てることが重要です。 これらの質問は、レビュー中に必要です。

  • 事業継続に必要な情報はありますか?
  • データの損失は金銭的な損失につながりますか?
  • データを再構築するのに費用がかかりますか?
  • 紛失した場合、どのくらいの速さで情報を回復する必要がありますか?
  • 他の情報源から情報を入手できますか?
  • ドキュメントは物理的ですか、それともデジタルですか?

情報に対するリスクを確認する

保存期間を決定する際には、情報の長期的な必要性と損失が発生した場合の復旧コストを考慮する必要があります。 これらは指針となる質問です:

  • データの担当者は誰ですか?
  • 暗号化やファイアウォールなどの適切な制御がありますか?
  • あなたの情報のフォーマットは何ですか?
  • すべての取引を文書化することは可能ですか?
  • 誰が情報にアクセスできますか?
  • 制御をどのように規制/認証しますか?

レコード保護の監視

情報を頻繁に監視しないと、整合性の欠如に悩まされることになります。

  • すべてのソフトウェア、サーバー、およびネットワークのリスクを頻繁に監視していますか?
  • ソフトウェアを更新していますか?
  • 退職した従業員は引き続きデータにアクセスしますか?
  • 外部の脅威を監視していますか?
  • アクセスを確認していますか?

記録の処分

あなたはあなたの記録を処分する計画を持っているべきです。 その過程で規制要件に違反していないことを確認してください。 プロセスを完了するために、バックアップと検証済みの処分機関があることを確認してください。

レコード管理におけるテクノロジーの使用

自動化されたツールを使用すると、すべてのデータ(物理的およびデジタルの両方をきちんと整理できます。監査プロセスに必要な時間とリソースを節約できるため、規制機関への準拠が容易になります。

編集者注: Ken Lynchは、エンタープライズソフトウェアのスタートアップのベテランであり、労働者を仕事に駆り立てるものと、仕事をより魅力的にする方法に常に魅了されてきました。 ケンはまさにそれを追求するために相互主義を設立しました。 彼は、より社会的志向の企業市民を作成するために、従業員を会社のガバナンス、リスク、およびコンプライアンスの目標に関与させるというこのミッションベースの目標で、Reciprocityの成功を推進してきました。 ケンはMITでコンピュータサイエンスと電気工学の理学士号を取得しています。 詳細については、ReciprocityLabs.comをご覧ください。

これについて何か考えがありますか? コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。

編集者の推奨事項:

  • ネットワークセグメンテーションとPCIコンプライアンス
  • PCIDSSログ管理
  • SOC2監査の範囲
  • 監査要件–米国の民間企業
  • リスク管理計画–それは何のためですか?