การปฏิบัติตามข้อกำหนดและการจัดการบันทึกคืออะไร

เผยแพร่แล้ว: 2019-01-10

คำขอของผู้ตรวจสอบภายในเกี่ยวกับการจัดการบันทึกและเอกสารประกอบทำให้เกิดความกลัวและความไม่แน่นอนสำหรับหัวหน้าแผนกจำนวนมาก

คุณไม่ควรเพียงบรรลุการเก็บรักษาไว้เป็นเวลาหลายปี แต่ยังต้องแน่ใจว่าข้อมูลได้รับการคุ้มครองอย่างเพียงพอ

คำจำกัดความของการจัดการบันทึก

การจัดการบันทึกเกี่ยวข้องกับการจัดทำเอกสารข้อมูลและการปกป้องข้อมูลตามระยะเวลาที่กำหนด ด้วยความก้าวหน้าทางเทคโนโลยี มันจึงเป็นไปได้สำหรับธุรกิจที่จะได้รับข้อมูลสำหรับผู้ที่ไม่เคยทำธุรกรรมด้วย! ซึ่งอาจมาในรูปแบบของการสมัครงานและผู้ช่วยด้านการตลาด คุณต้องมีกลไกที่เหมาะสมในการรวบรวม จัดเรียง จัดเก็บ และกำจัดเอกสารเหล่านี้ในเวลาที่เหมาะสม

หน่วยงานกำกับดูแลบางแห่งจะเน้นเฉพาะข้อมูลที่เกี่ยวข้องกับพนักงานและลูกค้าเท่านั้น อย่างไรก็ตาม ข้อบังคับบางอย่าง เช่น กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) กำหนดให้คุณต้องปกป้องข้อมูลทั้งหมดที่คุณโต้ตอบด้วยจากการละเมิดรูปแบบใดๆ ตัวอย่างเช่น ข้อมูลที่รวบรวมโดยนักการตลาดของคุณอาจดูเหมือนไม่จำเป็นหลังจากโปรแกรมสร้างความสนใจในตัวสินค้า แต่เป็นความเสี่ยงด้านข้อมูลที่สำคัญสำหรับธุรกิจของคุณ

ตารางการเก็บรักษาโดยทั่วไป: คืออะไร

อุตสาหกรรมต่างๆ มีตารางการเก็บบันทึกที่แตกต่างกัน ตัวอย่างเช่น เป็นข้อกำหนดที่ข้อมูลทั้งหมดที่ธนาคารรวบรวมได้จะถูกเก็บไว้เป็นเวลา 5 ปี ประเภทโปรแกรมการเก็บรักษาข้อมูลที่ใช้บ่อยที่สุด ได้แก่ 3 ปี 5 ปี 7 ปี 10 ปีหรือกำหนดการการเก็บรักษาถาวร

การเก็บรักษาข้อมูลส่งผลต่อองค์กรของคุณอย่างไร

การพัฒนาวิธีการเก็บรวบรวมข้อมูลขั้นสูงทางเทคโนโลยีทำให้กระบวนการเก็บรักษาและปกป้องข้อมูลมีความซับซ้อน ต่างจากสมัยก่อนที่คุณสามารถรวบรวมเอกสารและเก็บไว้ในโกดังที่มีการป้องกัน สภาพแวดล้อมในปัจจุบันเป็นแบบดิจิทัลอย่างมาก! สิ่งนี้ต้องการให้คุณลงทุนในโปรแกรมการจัดเก็บข้อมูลและสร้างความปลอดภัยจากการละเมิดข้อมูล

คุณควรตรวจสอบให้แน่ใจว่าคุณมีระบบติดตามที่เหมาะสม วิธีนี้จะช่วยให้คุณกำจัดเอกสารที่เกินขีดจำกัดการเก็บรักษาได้อย่างง่ายดาย

5 ขั้นตอนสำคัญในการสร้างนโยบายการจัดการบันทึก

คุณต้องใช้หลักเกณฑ์ ISO 15489 ในการเตรียมนโยบายนี้ นอกจากนี้ ตรวจสอบให้แน่ใจว่าคุณได้กำหนดมาตรการเพื่อให้แน่ใจว่ามีการปฏิบัติตาม ขั้นตอนรวมถึง:

ตรวจสอบทรัพย์สินและสถานที่จัดเก็บ

ตรวจสอบให้แน่ใจว่าคุณเข้าใจข้อมูลทั้งหมดที่คุณจัดเก็บและตำแหน่งที่จัดเก็บเฉพาะ ซึ่งจะช่วยให้คุณจัดเรียงข้อมูลตามพารามิเตอร์ที่จำเป็นเพื่อเพิ่มความปลอดภัยจากการละเมิดข้อมูล บันทึกสามารถจำแนกได้ดังนี้:

  • ปฏิบัติการ . ซึ่งเป็นข้อมูลที่จำเป็นสำหรับการดำเนินธุรกิจในแต่ละวัน รวมถึงข้อมูลลูกค้า ข้อมูลพนักงาน แผนผังองค์กร ข้อมูลภาษี การเข้าถึงข้อมูลและการอนุญาต ข้อมูลการตลาด เอกสารทรัพยากรบุคคล และรายงานการประชุมคณะกรรมการบริษัท
  • ถูก กฎหมาย . ข้อมูลนี้เกี่ยวข้องกับความรับผิดทางกฎหมายของธุรกิจ ซึ่งรวมถึงบทความของบริษัท คดีความ ข้อมูลผู้ขายบุคคลที่สาม แบบฟอร์มยินยอม และข้อมูลกรมธรรม์ประกันภัย
  • ฉุกเฉิน . ข้อมูลนี้เกี่ยวข้องกับข้อมูลทั้งหมดที่จำเป็นในการประกันความต่อเนื่องทางธุรกิจและการแก้ไขปัญหาภัยพิบัติ ซึ่งรวมถึงการอนุญาตการเข้าถึงฉุกเฉิน พิมพ์เขียวสิ่งอำนวยความสะดวก นโยบายและขั้นตอน รหัสความปลอดภัย และเอกสารระบบทางเทคนิค
  • การเงิน . ข้อมูลนี้เกี่ยวข้องกับสินทรัพย์ หนี้สิน และประวัติทางการเงิน ประกอบด้วยรายละเอียดการลงทุน ข้อมูลบัญชีเงินเดือน บัญชีแยกประเภท และเอกสารทางธนาคาร
  • ขึ้นอยู่กับสถานที่ ข้อมูลสามารถเก็บไว้ในเครือข่าย เซิร์ฟเวอร์ ที่เก็บข้อมูลบนคลาวด์ ตำแหน่งในและนอกสถานที่ และการสำรองข้อมูล

ตรวจสอบความสำคัญของข้อมูลและอัตราความเสี่ยง

จำเป็นอย่างยิ่งที่นโยบายทั้งหมดมุ่งเน้นไปที่ข้อมูลสำคัญซึ่งการแทรกแซงจะส่งผลให้เกิดความไม่ต่อเนื่องหรือการสูญเสียทางการเงิน คำถามเหล่านี้จำเป็นในระหว่างการตรวจสอบ:

  • ข้อมูลจำเป็นสำหรับความต่อเนื่องทางธุรกิจหรือไม่?
  • การสูญเสียข้อมูลจะนำไปสู่การสูญเสียทางการเงินหรือไม่?
  • การสร้างข้อมูลใหม่มีค่าใช้จ่ายหรือไม่?
  • คุณควรกู้คืนข้อมูลในกรณีสูญหายได้เร็วแค่ไหน?
  • สามารถรับข้อมูลจากแหล่งอื่นได้หรือไม่?
  • เอกสารเป็นเอกสารจริงหรือดิจิทัล?

ทบทวนความเสี่ยงต่อข้อมูล

เมื่อตัดสินใจเลือกระยะเวลาเก็บรักษา คุณควรพิจารณาถึงความต้องการระยะยาวของข้อมูลและค่าใช้จ่ายในการกู้คืนในกรณีที่สูญหาย นี่คือคำถามนำทาง:

  • ใครเป็นผู้รับผิดชอบข้อมูล?
  • คุณมีการควบคุมที่เพียงพอ เช่น การเข้ารหัสและไฟร์วอลล์หรือไม่?
  • รูปแบบของข้อมูลของคุณเป็นอย่างไร?
  • เป็นไปได้ไหมที่จะบันทึกธุรกรรมทั้งหมด?
  • ใครสามารถเข้าถึงข้อมูลได้บ้าง?
  • คุณควบคุม / ตรวจสอบการควบคุมอย่างไร?

การคุ้มครองบันทึกการตรวจสอบ

หากคุณไม่ได้ตรวจสอบข้อมูลของคุณบ่อยๆ คุณจะประสบกับการไม่ปฏิบัติตามข้อกำหนดด้านความซื่อสัตย์!

  • คุณเฝ้าติดตามซอฟต์แวร์ เซิร์ฟเวอร์ และเครือข่ายทั้งหมดเพื่อหาความเสี่ยงหรือไม่?
  • คุณกำลังอัปเดตซอฟต์แวร์ของคุณหรือไม่?
  • พนักงานที่ถูกเลิกจ้างยังคงเข้าถึงข้อมูลได้หรือไม่
  • คุณกำลังตรวจสอบภัยคุกคามภายนอกหรือไม่?
  • คุณกำลังตรวจสอบการเข้าถึงของคุณหรือไม่?

การกำจัดบันทึก

คุณควรมีแผนที่จะทิ้งบันทึกของคุณ ตรวจสอบให้แน่ใจว่าคุณไม่ได้ละเมิดข้อกำหนดด้านกฎระเบียบในกระบวนการ ตรวจสอบให้แน่ใจว่าคุณมีข้อมูลสำรองและหน่วยงานกำจัดที่ตรวจสอบแล้วเพื่อดำเนินการให้เสร็จสิ้น

การใช้เทคโนโลยีในการจัดการบันทึก

การใช้เครื่องมืออัตโนมัติช่วยให้คุณจัดระเบียบข้อมูลทั้งหมดของคุณ (ทั้งทางกายภาพและดิจิทัลอย่างเรียบร้อย ช่วยให้คุณประหยัดเวลาและทรัพยากรที่จำเป็นสำหรับกระบวนการตรวจสอบ ซึ่งจะทำให้ง่ายต่อการปฏิบัติตามหน่วยงานกำกับดูแล

หมายเหตุบรรณาธิการ: Ken Lynch เป็นผู้เชี่ยวชาญในการเริ่มต้นซอฟต์แวร์ระดับองค์กร ผู้ซึ่งหลงใหลในสิ่งที่ผลักดันให้พนักงานทำงานและวิธีทำให้งานมีส่วนร่วมมากขึ้น Ken ก่อตั้ง Reciprocity เพื่อไล่ตามสิ่งนั้น เขาได้ขับเคลื่อนความสำเร็จของ Reciprocity ด้วยเป้าหมายตามภารกิจในการมีส่วนร่วมกับพนักงานด้วยเป้าหมายด้านการกำกับดูแล ความเสี่ยง และการปฏิบัติตามข้อกำหนดของบริษัท เพื่อสร้างพลเมืององค์กรที่มีใจรักในสังคมมากขึ้น เคนสำเร็จการศึกษาระดับปริญญาตรีสาขาวิทยาการคอมพิวเตอร์และวิศวกรรมไฟฟ้าจาก MIT เรียนรู้เพิ่มเติมที่ ReciprocityLabs.com

มีความคิดเกี่ยวกับเรื่องนี้หรือไม่? แจ้งให้เราทราบด้านล่างในความคิดเห็นหรือดำเนินการสนทนาไปที่ Twitter หรือ Facebook ของเรา

คำแนะนำของบรรณาธิการ:

  • การแบ่งส่วนเครือข่ายและการปฏิบัติตาม PCI
  • การจัดการบันทึก PCI DSS
  • กำหนดขอบเขตการตรวจสอบ SOC2
  • ข้อกำหนดในการตรวจสอบ – บริษัทเอกชนในสหรัฐอเมริกา
  • แผนการจัดการความเสี่ยง – มีไว้เพื่ออะไร?