Что такое комплаенс и управление записями

Опубликовано: 2019-01-10

Запрос внутреннего аудитора на информацию об управлении записями и документацией вызывает страх и неуверенность у многих руководителей отделов.

Вы должны не только добиться сохранения в течение многих лет, но и обеспечить надлежащую защиту информации.

Определение управления записями

Управление записями влечет за собой документирование информации и ее защиту в течение необходимого периода. Благодаря технологическим достижениям предприятиям стало возможным получать данные о людях, с которыми они никогда не будут иметь дело! Это может быть в виде заявлений о приеме на работу и маркетинговых помощников. Вы должны иметь надлежащий механизм для сбора, сортировки, хранения и уничтожения этих документов в нужное время.

Некоторые регулирующие органы сосредоточатся только на данных, касающихся сотрудников и клиентов. Однако некоторые правила, такие как Общий регламент по защите данных (GDPR), требуют, чтобы вы защищали все данные, с которыми вы взаимодействуете, от любого нарушения. Например, информация, собранная вашими маркетологами, может показаться ненужной после программы лидогенерации, но это значительный риск для вашего бизнеса.

Типовые графики удержания: какие они?

Различные отрасли имеют разные графики хранения записей. Например, требуется, чтобы вся информация, собираемая банками, хранилась в течение 5 лет. Наиболее часто используемые категории программ хранения данных включают 3 года, 5 лет, 7 лет, 10 лет или графики постоянного хранения.

Как хранение данных влияет на вашу организацию

Развитие технологически продвинутых методов сбора данных усложнило процесс хранения и защиты данных. В отличие от старых дней, когда вы могли собирать документы и хранить их на охраняемом складе, сегодняшняя среда очень цифровая! Это требует, чтобы вы инвестировали в программы хранения данных и установили защиту от утечки данных.

Вы также должны убедиться, что у вас есть надлежащие системы отслеживания. Это поможет вам легко избавляться от документов, срок хранения которых истек.

5 важных шагов для создания политики управления записями

При подготовке к этой политике вы должны использовать рекомендации ISO 15489. Кроме того, убедитесь, что вы разработали меры для обеспечения соблюдения. Шаги включают в себя:

Просмотрите активы и места хранения

Убедитесь, что вы понимаете всю информацию, которую вы храните, и конкретные места хранения. Это поможет вам отсортировать данные по параметрам, необходимым для повышения безопасности от утечки данных. Записи можно разделить на:

Оперативный . Это информация, необходимая для повседневных деловых операций. Включите данные клиентов, информацию о сотрудниках, организационные схемы, налоговую информацию, доступ к данным и авторизацию, маркетинговую информацию, документы по кадрам и протоколы заседаний Совета директоров.
Юридический . Эти данные вращаются вокруг юридических обязательств бизнеса. Он включает учредительные документы, судебные иски, информацию о сторонних поставщиках, формы согласия и информацию о страховом полисе.
Чрезвычайная ситуация . Сюда входит вся информация, необходимая для обеспечения непрерывности бизнеса и устранения аварий. Он включает в себя авторизацию аварийного доступа, чертежи объекта, политики и процедуры, коды безопасности и техническую документацию по системе.
Финансовый . Эта информация влечет за собой активы, обязательства и финансовую историю. Он включает в себя сведения об инвестициях, информацию о заработной плате, бухгалтерские книги и банковские документы.
На основе местоположения . Информация может храниться в сетях, на серверах, в облачных хранилищах, в локальных и удаленных хранилищах, а также в резервных копиях.

Просмотрите важность данных и оцените риск

Крайне важно, чтобы все политики были сосредоточены на важной информации, вмешательство в которую может привести к сбою или финансовым потерям. Эти вопросы необходимы во время обзора:

Необходима ли информация для обеспечения непрерывности бизнеса?
Приведет ли потеря данных к денежным потерям?
Дорого ли восстановить данные?
Насколько быстро нужно восстанавливать информацию в случае потери?
Можно ли получить информацию из других источников?
Являются ли документы физическими или цифровыми?

Просмотрите риски для информации

При определении периода хранения вы должны учитывать долгосрочную потребность в информации и стоимость восстановления в случае потери. Вот наводящие вопросы:

Кто отвечает за данные?
Есть ли у вас адекватные средства контроля, такие как шифрование и брандмауэры?
Каков формат вашей информации?
Можно ли задокументировать все сделки?
Кто может получить доступ к информации?
Как вы регулируете/аутентифицируете контроль?

Мониторинг защиты записей

Если вы не будете часто контролировать свою информацию, вы будете страдать от несоблюдения целостности!

Вы часто проверяете все программное обеспечение, серверы и сети на наличие рисков?
Вы обновляете свое программное обеспечение?
Продолжают ли уволенные сотрудники получать доступ к данным?
Вы отслеживаете внешние угрозы?
Вы просматриваете свой доступ?

Удаление записей

У вас должен быть план по уничтожению ваших записей. Убедитесь, что вы не нарушаете нормативные требования в процессе. Убедитесь, что у вас есть резервные копии и проверенное агентство по утилизации для завершения процесса.

Использование технологий в управлении записями

Использование автоматизированных инструментов поможет вам аккуратно организовать все ваши данные (как физические, так и цифровые). Это сэкономит вам время и ресурсы, необходимые для процесса аудита, что упростит соблюдение требований регулирующих органов.

Примечание редактора: Кен Линч — ветеран запуска корпоративного программного обеспечения, которого всегда интересовало, что побуждает сотрудников работать и как сделать работу более увлекательной. Кен основал Reciprocity именно для этого. Он способствовал успеху Reciprocity благодаря этой миссионерской цели, заключающейся в том, чтобы привлечь сотрудников к управлению, рискам и целям соблюдения требований их компании, чтобы создать более социально настроенных корпоративных граждан. Кен получил степень бакалавра компьютерных наук и электротехники в Массачусетском технологическом институте. Узнайте больше на ReciprocityLabs.com.

Есть какие-нибудь мысли по этому поводу? Дайте нам знать внизу в комментариях или перенесите обсуждение в наш Twitter или Facebook.