규정 준수 관리 모범 사례

새로운 규정과 업데이트된 산업 규정이 현재 많은 비즈니스를 지배하고 있으므로 규정 준수 관리는 이제 모든 산업의 초점입니다. 대부분의 경우 규정 준수 요구 사항에는 스프레드시트의 철저한 검사가 포함됩니다.

저명한 사이버 보안 전문가는 데이터 환경을 검토하고 제어 효율성이 있는지 확인할 것을 권장합니다. 이렇게 하면 가능한 데이터 침해를 완화하는 데 도움이 됩니다. 규정 준수를 비즈니스의 일부로 만드는 것은 중요합니다.

그럼에도 불구하고 데이터가 여러 부서에서 봉인된 상태로 유지되면 정확하고 업데이트된 데이터를 유지 관리하기 어려울 수 있습니다.

효과적인 기업 규정 준수 프로그램을 만들기 위한 팁

비즈니스 규정 준수 프로그램을 갖추려면 법률 및 업계 필수품을 총괄하는 전담 팀을 구성해야 합니다. 과거에는 CISO(Chief Information Security Officer) 또는 CIO(Chief Information Officer)가 규정 준수와 협력하여 기업 규정 준수 프로그램을 만들었습니다. 그러나 상황은 다른 방향으로 가고 있습니다.

귀하의 비즈니스는 부서 간 커뮤니케이션을 구축해야 합니다. 귀하의 비즈니스는 운영을 용이하게 하기 위해 더 많은 SaaS(Software as a Service)를 통합할 것입니다. 따라서 더 많은 내부 주주 토론을 조직해야 합니다.

예를 들어 인사 부서는 여러 SaaS 플랫폼을 사용하여 다양한 작업을 효율적으로 수행할 수 있습니다. 이러한 플랫폼에는 급여를 받는 근로자를 위한 청구 매체와 시간 추적을 위한 플랫폼이 포함됩니다. 또한 마케팅 부서는 소셜 미디어 일정 플랫폼 및 연락처 데이터베이스 플랫폼을 사용할 수 있습니다. 이러한 모든 SaaS 지원 플랫폼은 규정 준수 위험을 높이는 역할을 합니다.

이러한 이유로 기업 규정 준수 프로그램은 모든 자산을 기록할 부서 간 팀으로 구성되어야 합니다.

효과적인 리스크 관리 프로그램 구축

함께 모여 그들의 자산이 가져오는 위험을 평가하는 것은 당신이 만든 팀의 작업입니다. 효과적인 위험 관리 프로그램을 갖추려면 위반하기 쉬운 데이터 유형과 이것이 비즈니스에 미치는 영향을 결정해야 합니다.

먼저 모든 디지털 데이터 자산의 카탈로그를 만들어야 합니다. 여기에는 시스템 및 네트워크, 응용 프로그램 및 소프트웨어의 모든 데이터가 포함됩니다.

그런 다음 해당 자산에 저장된 데이터를 검토하고 전송 및 처리합니다. 디지털 자산이 상호 작용하는 데이터 유형은 관련된 위험 수준을 변경할 수 있습니다.

확보해야 할 정보는 여러 가지 상황에 따라 변하기 마련입니다.

여기에는 다음이 포함됩니다.

• 누가 그것을 사용하고 있습니까?
• 그들이 그것과 상호 작용하는 방법
• 그것은 무엇입니까
• 저장 위치
• 전송 방법
• 공급업체 위험 관리 방법

현재 SaaS 플랫폼의 사용이 일차적으로 증가하고 있습니다. 이러한 이유로 공급업체 위험 관리가 더 심각한 문제가 되었습니다. 대부분의 규정 준수 요구 사항은 공급망 보안 모니터링을 확보하는 데 주의를 기울입니다.

공급업체를 감독하면 효과적인 규정 준수 프로그램을 만드는 데 필요한 서류 더미가 늘어납니다. 따라서 공급업체, 인력 및 디지털을 카탈로그화하는 동시에 보안 제어를 유지하는지 확인하십시오.

• 내부 주주가 공급업체를 모니터링하는 역할을 알고 있는지 확인합니다.
• 네트워크, 시스템 및 소프트웨어에 대한 공급업체 액세스 및 승인 기록
• 공급업체 제어에 대한 효과적인 모니터링을 입증하는 최신 목록 보유
• 보안 통제를 검토하고 피드백을 기록하며 완료된 내부 또는 외부 감사를 검토합니다.
• 이 모든 작업에는 다양한 위치에 저장하는 모든 공급업체의 문서가 있어야 합니다.

스프레드시트를 효과적인 규정 준수 관리 도구로 만드는 요인은 무엇입니까?

대부분의 규정 준수 관리 시스템은 사용하기 쉽고 저렴하기 때문에 스프레드시트를 사용하기 시작했습니다. 또한 컨트롤을 쉽게 문서화할 수 있습니다. 클라우드 드라이버는 문서를 쉽게 공유하고 편집할 수 있는 방법을 제공했습니다. 그래서 사람들은 더 많은 돈을 들이지 않고도 내부 주주의 책임을 다할 수 있는 더 나은 방법을 찾았습니다.

몇 가지 요인으로 인해 비즈니스가 확장됨에 따라 스프레드시트가 증가했습니다. 공급업체의 수가 증가함에 따라 스프레드시트에 더 많은 탭이 추가되었습니다.

또한 클라우드 드라이버가 추가한 가장 최근 정보를 저장했기 때문에 일부 오류를 추적하기가 어려웠습니다. 당사자들이 검토를 잘 관리했는지 알 수 없었기 때문에 서로 다른 문서 기록을 비교하는 것은 압도적이었습니다.

보안 패치와 같은 컨트롤에 대한 업데이트는 적절하게 문서화하기 어려웠습니다.

이 작업은 어렵고 시간이 많이 소요되어 잠재적인 규정 준수 위험을 초래했습니다.

컴플라이언스 관리 부담을 어떻게 줄일 수 있습니까?

컴플라이언스 관리 프로그램을 모니터링할 때 안심할 수 있는 제품이 시중에 나와 있습니다.

문서에 대한 역할 기반 액세스를 설정할 수 있는 사용하기 쉬운 시스템과 함께 제공됩니다. 따라서 내부 주주는 필요한 데이터만 얻을 수 있습니다. 문서를 직무 및 기능에 연결하여 문서에 대한 액세스 권한을 생성합니다. 이를 통해 HR은 공급업체를 수정할 수 있으며 마케팅 부서는 해당 공급업체에 액세스할 수 있습니다. 이는 규정 준수 담당자가 변경 사항을 효과적으로 추적하는 동시에 적절한 문서화를 보장하는 데 도움이 됩니다.

또한 사람에게 역할을 할당하고 진행 상황을 추적할 수 있는 워크플로 및 관리 능력을 제공합니다. 이메일 업데이트 및 요청을 보낼 필요가 없습니다.

이 시스템은 모든 감사 문서의 출처이므로 감사 요청에 대한 피드백을 제공하는 시간을 절약하고 감사 프로세스에 드는 비용을 절약할 수 있습니다.

편집자 주: Ken Lynch는 기업 소프트웨어 스타트업 베테랑으로, 직원을 일하게 하는 요소와 작업을 보다 매력적으로 만드는 방법에 대해 항상 관심을 갖고 있습니다. Ken은 바로 그것을 추구하기 위해 Reciprocity를 설립했습니다. 그는 보다 사회적으로 생각하는 기업 시민을 만들기 위해 회사의 거버넌스, 위험 및 규정 준수 목표에 직원을 참여시키는 이 미션 기반 목표로 Reciprocity의 성공을 추진했습니다. Ken은 MIT에서 컴퓨터 과학 및 전기 공학 학사 학위를 받았습니다. ReciprocityLabs.com에서 자세히 알아보십시오.

이에 대한 생각이 있습니까? 의견에 아래로 알려주거나 Twitter 또는 Facebook으로 토론을 진행하십시오.

편집자 추천:

• 효과적인 워크플로 감사 관리 프로세스
• 규정 준수 및 기록 관리란?
• 규정 준수 관리 시스템이란
• 네트워크 세분화 및 PCI 규정 준수
• SOC2 감사 범위 지정