Ce este conformitatea și managementul înregistrărilor

Publicat: 2019-01-10

Solicitarea unui auditor intern de informații privind gestionarea înregistrărilor și documentația se traduce în teamă și incertitudini pentru mulți șefi de departament.

Nu numai că ar trebui să obțineți păstrarea timpului de mulți ani, ci și să vă asigurați că informațiile sunt protejate în mod adecvat.

Definiţia Records Management

Gestionarea înregistrărilor presupune documentarea informațiilor și protejarea acestora în perioada necesară. Odată cu progresele tehnologice, companiile au devenit posibile să obțină date pentru persoanele cu care s-ar putea să nu facă tranzacții niciodată! Acest lucru poate veni sub formă de cereri de locuri de muncă și ajutoare de marketing. Trebuie să aveți un mecanism adecvat pentru a colecta, sorta, stoca și elimina aceste documente la momentul potrivit.

Unele organisme de reglementare se vor concentra doar pe datele referitoare la angajați și clienți. Cu toate acestea, unele dintre reglementări, cum ar fi Regulamentul general privind protecția datelor (GDPR), vă impun să protejați toate datele cu care interacționați de orice formă de încălcare. De exemplu, informațiile colectate de agenții dvs. de marketing pot părea inutile după programul de generare de clienți potențiali, dar reprezintă un risc semnificativ de date pentru afacerea dvs.

Programe tipice de reținere: care sunt acestea?

Diverse industrii au programe diferite de păstrare a înregistrărilor. De exemplu, este o cerință ca toate informațiile colectate de bănci să fie stocate timp de 5 ani. Cele mai utilizate categorii de programe de păstrare a datelor includ 3 ani, 5 ani, 7 ani, 10 ani sau programele de păstrare permanente.

Cum vă afectează păstrarea datelor organizația

Dezvoltarea unor metode avansate tehnologic de colectare a datelor a complicat procesul de păstrare și protecție a datelor. Spre deosebire de vremurile în care puteai colecta documente și le depozitai într-un depozit păzit, mediul de astăzi este extrem de digital! Acest lucru necesită să investești în programe de stocare a datelor și să institui securitatea împotriva încălcării datelor.

De asemenea, ar trebui să vă asigurați că aveți sisteme de urmărire adecvate. Acest lucru vă va ajuta să eliminați cu ușurință documentele care și-au depășit limita de păstrare.

5 pași cruciali pentru a crea o politică de gestionare a înregistrărilor

Vi se cere să utilizați ghidurile ISO 15489 atunci când vă pregătiți pentru această politică. De asemenea, asigurați-vă că elaborați măsuri pentru a asigura conformitatea. Pașii includ:

Examinați activele și locațiile de stocare

Asigurați-vă că înțelegeți toate informațiile pe care le stocați și locațiile specifice de stocare. Acest lucru vă va ajuta să sortați datele pe baza parametrilor necesari pentru a îmbunătăți securitatea împotriva încălcării datelor. Înregistrările pot fi clasificate astfel:

  • Operațional . Acestea sunt informațiile esențiale pentru operațiunile zilnice de afaceri. Includeți date despre clienți, informații despre angajați, organigrame, informații fiscale, acces la date și autorizare, informații de marketing, documente de resurse umane și procese-verbale pentru reuniunile Consiliului de Administrație.
  • Legal . Aceste date se învârt în jurul răspunderii legale ale unei afaceri. Acesta include acte constitutive, procese, informații despre furnizori terți, formulare de consimțământ și informații despre polița de asigurare.
  • Urgență . Aceasta implică toate informațiile necesare pentru asigurarea continuității afacerii și rezolvarea dezastrelor. Include autorizarea accesului în caz de urgență, planurile unității, politicile și procedurile, codurile de securitate și documentația tehnică a sistemului.
  • Financiar . Aceste informații implică active, pasive și istoric financiar. Include detaliile investițiilor, informațiile privind salariile, registrele și documentele bancare.
  • Bazat pe locație . Informațiile pot fi stocate în rețele, servere, stocare în cloud, locații la fața locului și în afara amplasamentului și copii de rezervă.

Examinați importanța datelor și evaluați riscul

Este esențial ca toate politicile să se concentreze pe informații cruciale a căror interferență ar avea ca rezultat o discontinuitate sau o pierdere financiară. Aceste întrebări sunt necesare în timpul revizuirii:

  • Sunt informațiile necesare pentru continuitatea afacerii?
  • Pierderea datelor va duce la o pierdere monetară?
  • Este costisitor să reconstruiești datele?
  • Cât de rapid ar trebui să recuperați informațiile în caz de pierdere?
  • Informațiile pot fi obținute din alte surse?
  • Documentele sunt fizice sau digitale?

Examinați riscurile la informații

Atunci când decideți perioada de păstrare, trebuie să luați în considerare nevoia pe termen lung a informațiilor și costul recuperării în cazul unei pierderi. Acestea sunt întrebările directoare:

  • Cine este responsabil cu datele?
  • Aveți controale adecvate, cum ar fi criptarea și firewall-urile?
  • Care este formatul pentru informațiile dvs.?
  • Este posibil să documentezi toate tranzacțiile?
  • Cine poate accesa informațiile?
  • Cum reglați/autentificați controlul?

Monitorizarea Protecției Înregistrărilor

Dacă nu reușiți să vă monitorizați în mod frecvent informațiile, veți suferi de nerespectarea integrității!

  • Monitorizați frecvent toate programele, serverele și rețelele pentru riscuri?
  • Îți actualizezi software-ul?
  • Angajații concediați continuă să acceseze date?
  • Monitorizați amenințările externe?
  • Vă revizuiți accesul?

Eliminarea înregistrărilor

Ar trebui să aveți un plan pentru a vă elimina înregistrările. Asigurați-vă că nu încălcați o cerință de reglementare în acest proces. Asigurați-vă că aveți copii de rezervă și o agenție de eliminare verificată pentru a finaliza procesul.

Utilizarea tehnologiei în managementul înregistrărilor

Utilizarea instrumentelor automate vă ajută să vă organizați toate datele (atât fizice, cât și digitale, în mod ordonat. Vă economisește timpul și resursele necesare procesului de audit, facilitând astfel respectarea organismelor de reglementare.

Nota editorului: Ken Lynch este un veteran al startup-ului de software pentru întreprinderi, care a fost întotdeauna fascinat de ceea ce îi determină pe lucrători să lucreze și de cum să facă munca mai atractivă. Ken a fondat Reciprocity pentru a urmări tocmai asta. El a propulsat succesul Reciprocity cu acest obiectiv bazat pe misiuni de a angaja angajații cu obiectivele de guvernanță, risc și conformitate ale companiei lor, pentru a crea cetățeni corporativi cu o minte mai socială. Ken și-a obținut licența în Informatică și Inginerie Electrică de la MIT. Aflați mai multe la ReciprocityLabs.com.

Ai vreo părere despre asta? Anunțați-ne mai jos în comentarii sau transmiteți discuția pe Twitter sau Facebook.

Recomandările editorilor:

  • Segmentarea rețelei și conformitatea PCI
  • Gestionarea jurnalelor PCI DSS
  • Definirea domeniului unui audit SOC2
  • Cerințe de audit – companii private din SUA
  • Planul de management al riscului – Pentru ce este?