Uyumluluk ve kayıt yönetimi nedir

Yayınlanan: 2019-01-10

Bir iç denetçinin kayıt yönetimi ve dokümantasyon hakkında bilgi talebi, birçok departman başkanı için korku ve belirsizliklere dönüşür.

Yalnızca uzun yıllar boyunca elde tutmayı sağlamakla kalmamalı, aynı zamanda bilgilerin yeterince korunmasını da sağlamalısınız.

Kayıt Yönetiminin Tanımı

Kayıt yönetimi, bilgilerin belgelenmesini ve gerekli süre boyunca korunmasını gerektirir. Teknolojik gelişmelerle birlikte işletmelerin asla işlem yapamayacakları kişiler için veri elde etmesi mümkün hale geldi! Bu, iş başvuruları ve pazarlama yardımcıları şeklinde olabilir. Bu belgeleri uygun zamanda toplamak, sıralamak, depolamak ve elden çıkarmak için uygun bir mekanizmaya sahip olmanız gerekir.

Bazı düzenleyici kurumlar yalnızca çalışanlar ve müşterilerle ilgili verilere odaklanacaktır. Ancak, Genel Veri Koruma Yönetmeliği (GDPR) gibi bazı düzenlemeler, etkileşimde bulunduğunuz tüm verileri her türlü ihlalden korumanızı gerektirir. Örneğin, pazarlamacılarınız tarafından toplanan bilgiler, olası satış yaratma programından sonra gereksiz görünebilir, ancak bu, işletmeniz için önemli bir veri riskidir.

Tipik Tutma Programları: Bunlar nedir?

Çeşitli endüstrilerin farklı kayıt tutma programları vardır. Örneğin, bankalar tarafından toplanan tüm bilgilerin 5 yıl süreyle saklanması şartı aranmaktadır. En sık kullanılan veri saklama programları kategorileri arasında 3 yıllık, 5 yıllık, 7 yıllık, 10 yıllık veya kalıcı saklama programları bulunur.

Veri Saklama, Kuruluşunuzu Nasıl Etkiler?

Teknolojik olarak gelişmiş veri toplama yöntemlerinin geliştirilmesi, veri saklama ve koruma sürecini karmaşık hale getirmiştir. Belgeleri toplayıp korumalı bir depoda saklayabileceğiniz eski günlerin aksine, günümüz ortamı son derece dijital! Bu, veri depolama programlarına yatırım yapmanızı ve veri ihlaline karşı güvenlik oluşturmanızı gerektirir.

Ayrıca uygun izleme sistemlerine sahip olduğunuzdan emin olmalısınız. Bu, saklama limitlerini aşan belgeleri kolayca elden çıkarmanıza yardımcı olacaktır.

Kayıt Yönetimi Politikası Oluşturmak İçin 5 Önemli Adım

Bu politikaya hazırlanırken ISO 15489 yönergelerini kullanmanız gerekir. Ayrıca, uygunluğu sağlamak için önlemler aldığınızdan emin olun. Adımlar şunları içerir:

Varlıkları ve Depolama Konumlarını İnceleyin

Sakladığınız tüm bilgileri ve belirli saklama konumlarını anladığınızdan emin olun. Bu, veri ihlaline karşı güvenliği artırmak için gerekli parametrelere dayalı olarak verileri sıralamanıza yardımcı olacaktır. Kayıtlar şu şekilde sınıflandırılabilir:

  • operasyonel . Bu, günlük iş operasyonları için gerekli olan bilgilerdir. Müşteri verilerini, çalışan bilgilerini, organizasyon şemalarını, vergi bilgilerini, veri erişim ve yetkilerini, pazarlama bilgilerini, insan kaynakları belgelerini ve Yönetim Kurulu toplantı tutanaklarını içerir.
  • yasal Bu veriler, bir işletmenin yasal yükümlülükleri etrafında döner. Şirket ana sözleşmesini, davaları, üçüncü taraf satıcı bilgilerini, onay formlarını ve sigorta poliçesi bilgilerini içerir.
  • Acil . Bu, iş sürekliliğini sağlamak ve felaketleri çözmek için gereken tüm bilgileri içerir. Acil durum erişim yetkisi, tesis planları, politikalar ve prosedürler, güvenlik kodları ve teknik sistem belgelerini içerir.
  • Finansal . Bu bilgiler varlıkları, borçları ve finansal geçmişi içerir. Yatırım ayrıntılarını, bordro bilgilerini, defterleri ve bankacılık belgelerini içerir.
  • Konum bazında . Bilgiler ağlarda, sunucularda, bulut depolamada, yerinde ve dışında konumlarda ve yedeklerde saklanabilir.

Verilerin Önemi ve Oran Riskini İnceleyin

Tüm politikaların, müdahalesi kesintiye veya mali kayba yol açabilecek önemli bilgilere odaklanması çok önemlidir. Bu sorular inceleme sırasında gereklidir:

  • Bilgi iş sürekliliği için gerekli mi?
  • Veri kaybı parasal bir kayba yol açar mı?
  • Verileri yeniden yapılandırmak maliyetli midir?
  • Kayıp durumunda bilgileri ne kadar hızlı kurtarmalısınız?
  • Bilgi başka kaynaklardan elde edilebilir mi?
  • Belgeler fiziksel mi yoksa dijital mi?

Bilgilerin Risklerini Gözden Geçirin

Saklama süresine karar verirken, bilginin uzun vadeli ihtiyacını ve kayıp durumunda kurtarma maliyetini göz önünde bulundurmalısınız. Bunlar yol gösterici sorulardır:

  • Verilerden kim sorumlu?
  • Şifreleme ve güvenlik duvarları gibi yeterli kontrolleriniz var mı?
  • Bilgilerinizin formatı nedir?
  • Tüm işlemleri belgelemek mümkün müdür?
  • Bilgilere kimler erişebilir?
  • Kontrolü nasıl düzenlersiniz/onaylarsınız?

İzleme Kayıtları Koruması

Bilgilerinizi sık sık izlemezseniz, bütünlük uyumsuzluğundan muzdarip olursunuz!

  • Riskler için tüm yazılımları, sunucuları ve ağları sık sık izliyor musunuz?
  • Yazılımınızı güncelliyor musunuz?
  • İşten çıkarılan çalışanlar verilere erişmeye devam ediyor mu?
  • Dış tehditleri izliyor musunuz?
  • Erişiminizi gözden geçiriyor musunuz?

Kayıtların İmhası

Kayıtlarınızı elden çıkarmak için bir planınız olmalıdır. Süreçte bir düzenleyici gereksinimi ihlal etmediğinizden emin olun. İşlemi tamamlamak için yedekleriniz ve doğrulanmış bir imha acenteniz olduğundan emin olun.

Belge Yönetiminde Teknoloji Kullanımı

Otomatik araçların kullanımı, tüm verilerinizi (hem fiziksel hem de dijital olarak) düzgün bir şekilde düzenlemenize yardımcı olur. Denetim süreci için gereken zamandan ve kaynaklardan tasarruf etmenizi sağlayarak düzenleyici kurumlara uyumu kolaylaştırır.

Editörün Notu: Ken Lynch, çalışanları neyin çalışmaya ittiği ve işin nasıl daha ilgi çekici hale getirileceği konusunda her zaman büyülenmiş bir kurumsal yazılım başlangıç ​​uzmanıdır. Ken, tam da bunu sürdürmek için Karşılıklılık'ı kurdu. Daha sosyal düşünen kurumsal vatandaşlar yaratmak için çalışanları şirketlerinin yönetişim, risk ve uyum hedefleriyle ilişkilendirmeye yönelik bu misyon temelli hedefle Reciprocity'nin başarısını destekledi. Ken, lisans derecesini MIT'den Bilgisayar Bilimi ve Elektrik Mühendisliği alanında almıştır. ReciprocityLabs.com'da daha fazla bilgi edinin.

Bu konuda herhangi bir fikriniz var mı? Aşağıdaki yorumlarda bize bildirin veya tartışmayı Twitter veya Facebook'a taşıyın.

Editörün Önerileri:

  • Ağ segmentasyonu ve PCI uyumluluğu
  • PCI DSS günlük yönetimi
  • SOC2 denetiminin kapsamını belirleme
  • Denetim gereksinimleri – Özel ABD şirketleri
  • Risk yönetim planı – Ne için?