규정 준수 및 기록 관리란?

게시 됨: 2019-01-10

기록 관리 및 문서화에 대한 내부 감사인의 요청은 많은 부서장에게 두려움과 불확실성으로 이어집니다.

수년에 걸친 보존을 달성할 뿐만 아니라 정보가 적절하게 보호되도록 해야 합니다.

기록 관리의 정의

기록 관리에는 정보를 문서화하고 필요한 기간 동안 보호하는 작업이 포함됩니다. 기술의 발전으로 비즈니스에서는 거래할 수 없는 사람들의 데이터를 얻을 수 있게 되었습니다! 이것은 구직 지원 및 마케팅 보조원의 형태로 제공될 수 있습니다. 이러한 문서를 적절한 시기에 수집, 분류, 저장 및 폐기할 수 있는 적절한 메커니즘이 필요합니다.

일부 규제 기관은 직원 및 고객과 관련된 데이터에만 초점을 맞춥니다. 그러나 GDPR(일반 데이터 보호 규정)과 같은 일부 규정에서는 모든 형태의 위반으로부터 상호 작용하는 모든 데이터를 보호할 것을 요구합니다. 예를 들어, 마케팅 담당자가 수집한 정보는 잠재 고객 생성 프로그램 후에 불필요해 보일 수 있지만 비즈니스에는 상당한 데이터 위험이 있습니다.

일반적인 보존 일정: 무엇입니까?

다양한 산업 분야마다 기록 보존 일정이 다릅니다. 예를 들어 은행에서 수집한 모든 정보는 5년 동안 보관해야 합니다. 가장 일반적으로 사용되는 데이터 보존 프로그램 범주에는 3년, 5년, 7년, 10년 또는 영구 보존 일정이 있습니다.

데이터 보존이 조직에 미치는 영향

기술적으로 발전된 데이터 수집 방법의 개발은 데이터 보존 및 보호 프로세스를 복잡하게 만들었습니다. 문서를 수집하여 경비 창고에 보관할 수 있었던 예전과 달리 오늘날의 환경은 고도로 디지털화되었습니다! 이를 위해서는 데이터 저장 프로그램에 투자하고 데이터 침해에 대한 보안을 구축해야 합니다.

또한 적절한 추적 시스템이 있는지 확인해야 합니다. 이렇게 하면 보존 한도를 초과한 문서를 쉽게 폐기할 수 있습니다.

기록 관리 정책을 만드는 5가지 중요한 단계

이 정책을 준비할 때 ISO 15489 지침을 사용해야 합니다. 또한 규정 준수를 위한 조치를 강구해야 합니다. 단계에는 다음이 포함됩니다.

자산 및 저장 위치 검토

저장하는 모든 정보와 특정 저장 위치를 ​​이해하고 있는지 확인하십시오. 이렇게 하면 데이터 침해에 대한 보안을 강화하는 데 필요한 매개변수를 기반으로 데이터를 정렬하는 데 도움이 됩니다. 기록은 다음과 같이 분류할 수 있습니다.

  • 운영 . 이것은 일상적인 비즈니스 운영에 필수적인 정보입니다. 고객 데이터, 직원 정보, 조직도, 세금 정보, 데이터 액세스 및 승인, 마케팅 정보, 인적 자원 문서, 이사회 회의록을 포함합니다.
  • 법적 . 이 데이터는 비즈니스의 법적 책임을 중심으로 진행됩니다. 여기에는 정관, 소송, 제3자 공급업체 정보, 동의서 및 보험 증권 정보가 포함됩니다.
  • 비상 . 여기에는 비즈니스 연속성을 보장하고 재해를 해결하는 데 필요한 모든 정보가 포함됩니다. 여기에는 비상 접근 권한 부여, 시설 청사진, 정책 및 절차, 보안 코드, 기술 시스템 문서가 포함됩니다.
  • 금융 . 이 정보에는 자산, 부채 및 재무 기록이 포함됩니다. 여기에는 투자 세부 정보, 급여 정보, 원장 및 은행 문서가 포함됩니다.
  • 위치 기반 . 정보는 네트워크, 서버, 클라우드 스토리지, 온사이트 및 오프사이트 위치, 백업에 저장할 수 있습니다.

데이터 중요성 검토 및 위험 평가

모든 정책은 간섭이 중단 또는 재정적 손실을 초래할 수 있는 중요한 정보에 초점을 맞추는 것이 중요합니다. 검토 중에 다음 질문이 필요합니다.

  • 비즈니스 연속성을 위해 필요한 정보입니까?
  • 데이터 손실이 금전적 손실로 이어집니까?
  • 데이터를 재구성하는 데 비용이 많이 듭니까?
  • 손실이 발생한 경우 정보를 얼마나 신속하게 복구해야 합니까?
  • 다른 출처에서 정보를 얻을 수 있습니까?
  • 문서가 물리적입니까, 아니면 디지털입니까?

정보에 대한 위험 검토

보존 기간을 결정할 때는 정보의 장기적 필요성과 손실 시 복구 비용을 고려해야 합니다. 다음은 안내 질문입니다.

  • 누가 데이터를 담당합니까?
  • 암호화 및 방화벽과 같은 적절한 제어 기능이 있습니까?
  • 귀하의 정보 형식은 무엇입니까?
  • 모든 거래를 문서화할 수 있습니까?
  • 누가 정보에 접근할 수 있습니까?
  • 제어를 어떻게 규제/인증합니까?

기록 보호 모니터링

정보를 자주 모니터링하지 않으면 무결성 비준수에 시달릴 것입니다!

  • 모든 소프트웨어, 서버 및 네트워크에 위험이 있는지 자주 모니터링하고 있습니까?
  • 소프트웨어를 업데이트하고 있습니까?
  • 해고된 직원이 계속 데이터에 액세스합니까?
  • 외부 위협을 모니터링하고 있습니까?
  • 액세스 권한을 검토하고 있습니까?

기록 파기

기록을 폐기할 계획이 있어야 합니다. 그 과정에서 규제 요구 사항을 위반하지 않았는지 확인하십시오. 프로세스를 완료하려면 백업 및 검증된 폐기 기관이 있는지 확인하십시오.

기록 관리에 기술 사용

자동화된 도구를 사용하면 모든 데이터(물리적 데이터와 디지털 데이터 모두를 깔끔하게 정리할 수 있습니다. 감사 프로세스에 필요한 시간과 리소스를 절약할 수 있으므로 규제 기관을 더 쉽게 준수할 수 있습니다.

편집자 주: Ken Lynch는 기업 소프트웨어 스타트업 베테랑으로, 직원을 일하게 하는 요소와 작업을 보다 매력적으로 만드는 방법에 대해 항상 관심을 갖고 있습니다. Ken은 바로 그것을 추구하기 위해 Reciprocity를 설립했습니다. 그는 보다 사회적으로 생각하는 기업 시민을 만들기 위해 회사의 거버넌스, 위험 및 규정 준수 목표에 직원을 참여시키는 이 미션 기반 목표로 Reciprocity의 성공을 추진했습니다. Ken은 MIT에서 컴퓨터 과학 및 전기 공학 학사 학위를 받았습니다. ReciprocityLabs.com에서 자세히 알아보십시오.

이에 대한 생각이 있습니까? 의견에 아래로 알려주거나 Twitter 또는 Facebook으로 토론을 진행하십시오.

편집자 추천:

  • 네트워크 세분화 및 PCI 규정 준수
  • PCI DSS 로그 관리
  • SOC2 감사 범위 지정
  • 감사 요구 사항 – 미국 민간 기업
  • 위험 관리 계획 – 무엇을 위한 것입니까?