Co to jest zarządzanie zgodnością i zapisami

Opublikowany: 2019-01-10

Prośba audytora wewnętrznego o informacje na temat zarządzania dokumentacją i dokumentacją przekłada się na strach i niepewność dla wielu kierowników działów.

Należy nie tylko zapewnić przechowywanie przez wiele lat, ale także zapewnić odpowiednią ochronę informacji.

Definicja zarządzania rekordami

Zarządzanie dokumentacją polega na dokumentowaniu informacji i ochronie ich przez wymagany okres. Wraz z postępem technologicznym firmy stały się możliwe pozyskiwanie danych dla osób, z którymi mogą nigdy nie dokonywać transakcji! Może to mieć formę aplikacji o pracę i pomocy marketingowych. Musisz mieć odpowiedni mechanizm zbierania, sortowania, przechowywania i usuwania tych dokumentów we właściwym czasie.

Niektóre organy regulacyjne skupią się wyłącznie na danych dotyczących pracowników i klientów. Jednak niektóre przepisy, takie jak ogólne rozporządzenie o ochronie danych (RODO), wymagają ochrony wszystkich danych, z którymi się kontaktujesz, przed jakąkolwiek formą naruszenia. Na przykład informacje zebrane przez Twoich marketerów mogą wydawać się niepotrzebne po programie generowania leadów, ale stanowi to poważne ryzyko dla Twojej firmy.

Typowe harmonogramy przechowywania: czym one są?

Różne branże mają różne harmonogramy przechowywania danych. Na przykład jest to wymóg, aby wszystkie informacje gromadzone przez banki były przechowywane przez 5 lat. Najczęściej używane kategorie programów przechowywania danych to 3 lata, 5 lat, 7 lat, 10 lat lub stałe harmonogramy przechowywania.

Jak przechowywanie danych wpływa na Twoją organizację

Rozwój zaawansowanych technologicznie metod gromadzenia danych skomplikował proces zatrzymywania i ochrony danych. W przeciwieństwie do dawnych czasów, kiedy można było zbierać dokumenty i przechowywać je w strzeżonym magazynie, dzisiejsze środowisko jest wysoce cyfrowe! Wymaga to zainwestowania w programy do przechowywania danych i zabezpieczenia przed naruszeniem danych.

Powinieneś również upewnić się, że masz odpowiednie systemy śledzenia. Pomoże to w łatwym pozbyciu się dokumentów, które przekroczyły limit przechowywania.

5 kluczowych kroków do stworzenia polityki zarządzania rekordami

Przygotowując się do tej zasady, musisz przestrzegać wytycznych ISO 15489. Upewnij się również, że opracowałeś środki w celu zapewnienia zgodności. Kroki obejmują:

Przejrzyj zasoby i lokalizacje pamięci

Upewnij się, że rozumiesz wszystkie informacje, które przechowujesz i konkretne miejsca przechowywania. Pomoże Ci to sortować dane na podstawie parametrów niezbędnych do zwiększenia bezpieczeństwa przed naruszeniem danych. Rekordy można sklasyfikować jako:

  • Operacyjny . To informacje, które są niezbędne w codziennej działalności biznesowej. Uwzględnij dane klientów, informacje o pracownikach, schematy organizacyjne, informacje podatkowe, dostęp do danych i autoryzację, informacje marketingowe, dokumenty dotyczące zasobów ludzkich oraz protokoły z posiedzeń zarządu.
  • Prawne . Dane te krążą wokół zobowiązań prawnych firmy. Obejmuje ona statut, pozwy, informacje o dostawcach zewnętrznych, formularze zgody i informacje o polisie ubezpieczeniowej.
  • Pogotowie . Obejmuje to wszystkie informacje wymagane do zapewnienia ciągłości biznesowej i rozwiązywania problemów. Obejmuje autoryzację dostępu w nagłych wypadkach, plany obiektów, zasady i procedury, kody bezpieczeństwa oraz dokumentację techniczną systemu.
  • Finansowy . Informacje te obejmują aktywa, pasywa i historię finansową. Zawiera szczegóły inwestycji, informacje o płacach, księgi rachunkowe i dokumenty bankowe.
  • Na podstawie lokalizacji . Informacje mogą być przechowywane w sieciach, serwerach, w chmurze, lokalizacjach na miejscu i poza nim oraz w kopiach zapasowych.

Przejrzyj znaczenie danych i oceń ryzyko

Niezwykle ważne jest, aby wszystkie polityki koncentrowały się na kluczowych informacjach, których ingerencja spowodowałaby brak ciągłości lub stratę finansową. Te pytania są niezbędne podczas przeglądu:

  • Czy informacje są wymagane do zachowania ciągłości działania?
  • Czy utrata danych doprowadzi do straty pieniężnej?
  • Czy rekonstrukcja danych jest kosztowna?
  • Jak szybko należy odzyskać informacje w przypadku utraty?
  • Czy informacje można uzyskać z innych źródeł?
  • Czy dokumenty są fizyczne czy cyfrowe?

Przejrzyj zagrożenia dla informacji

Decydując o okresie przechowywania, należy wziąć pod uwagę długoterminową potrzebę informacji i koszt odzyskania w przypadku utraty. Oto pytania przewodnie:

  • Kto zarządza danymi?
  • Czy masz odpowiednie kontrole, takie jak szyfrowanie i zapory sieciowe?
  • Jaki jest format Twoich informacji?
  • Czy możliwe jest udokumentowanie wszystkich transakcji?
  • Kto może uzyskać dostęp do informacji?
  • Jak regulujecie/uwierzytelniacie kontrolę?

Monitorowanie ochrony zapisów

Jeśli nie będziesz często monitorować swoich informacji, będziesz cierpieć z powodu naruszenia uczciwości!

  • Czy często monitorujesz całe oprogramowanie, serwery i sieci pod kątem zagrożeń?
  • Aktualizujesz oprogramowanie?
  • Czy zwolnieni pracownicy nadal mają dostęp do danych?
  • Czy monitorujesz zagrożenia zewnętrzne?
  • Sprawdzasz swój dostęp?

Utylizacja dokumentacji

Powinieneś mieć plan pozbycia się swoich danych. Upewnij się, że w tym procesie nie naruszasz wymogu prawnego. Upewnij się, że masz kopie zapasowe i zweryfikowaną agencję utylizacji, aby zakończyć proces.

Wykorzystanie technologii w zarządzaniu rekordami

Korzystanie z automatycznych narzędzi pomaga uporządkować wszystkie dane (zarówno fizyczne, jak i cyfrowe. Oszczędza czas i zasoby potrzebne do procesu audytu, ułatwiając tym samym przestrzeganie przepisów organów regulacyjnych.

Uwaga redaktora: Ken Lynch jest weteranem tworzenia oprogramowania dla przedsiębiorstw, który zawsze był zafascynowany tym, co motywuje pracowników do pracy i jak sprawić, by praca była bardziej angażująca. Ken założył Reciprocity, aby to osiągnąć. Napędzał sukces Reciprocity dzięki temu celowi opartemu na misji, jakim jest zaangażowanie pracowników w cele związane z zarządzaniem, ryzykiem i zgodnością ich firmy, aby stworzyć bardziej społecznie nastawionych obywateli korporacyjnych. Ken uzyskał tytuł licencjata w dziedzinie informatyki i elektrotechniki na MIT. Dowiedz się więcej na ReciprocityLabs.com.

Masz jakieś przemyślenia na ten temat? Daj nam znać poniżej w komentarzach lub przenieś dyskusję na naszego Twittera lub Facebooka.

Rekomendacje redaktorów:

  • Segmentacja sieci i zgodność z PCI
  • Zarządzanie logami PCI DSS
  • Scoping audytu SOC2
  • Wymogi audytu – prywatne firmy z USA
  • Plan zarządzania ryzykiem – do czego służy?