合规管理的最佳实践
已发表: 2019-01-10由于新法规和更新的行业法规现在管理着许多企业,因此合规管理现在是所有行业的重点。 在大多数情况下,合规要求涉及对电子表格的彻底检查。
著名的网络安全专家建议您审查您的数据环境并确保控制有效性。 这将帮助您减轻任何可能的数据泄露。 使合规成为业务的一部分很重要。
然而,如果您的数据在各个部门中保持密封,那么维护准确和更新的数据可能会很困难。
创建有效的公司合规计划的提示
拥有业务合规计划需要创建一个致力于总体法律和行业必需品的团队。 过去,首席信息安全官 (CISO) 或首席信息官过去常常与您的合规部门合作创建公司合规计划。 然而,事情正在发生不同的转变。
您的企业必须建立跨部门沟通。 您的企业将整合更多软件即服务 (SaaS) 以促进运营。 因此,您将需要组织更多的内部股东讨论。
例如,人力资源部门可能会选择使用多个 SaaS 平台来让他们有效地执行各种任务。 这些平台包括支付工人的计费媒介和跟踪工时的平台。 此外,您的营销部门可能正在使用社交媒体调度平台和联系人数据库平台。 所有这些支持 SaaS 的平台都在增加您的合规风险方面发挥作用。
因此,您的公司合规计划应包括一个跨部门团队,以便您记录所有资产。
制定有效的风险管理计划
这是您创建的团队的工作,他们聚集在一起并评估他们的资产带来的风险。 要制定有效的风险管理计划,您必须确定容易遭到破坏的数据类型以及它将如何影响业务。
首先,您需要创建所有数字数据资产的目录。 这将包括来自系统和网络、应用程序和软件的所有数据。
然后,您将查看存储在这些资产中的数据、传输和处理。 请注意,您的数字资产交互的数据类型可能会改变所涉及的风险级别。
需要保护的信息往往会根据各种情况发生变化。
这包括:
- 谁在使用它
- 他们如何与之互动
- 这是什么
- 它存储在哪里
- 它是如何传播的
- 管理供应商风险的方法
目前,SaaS平台的使用量正在以最快的速度增长。 出于这个原因,管理供应商风险一直是一个更深层次的困境。 大多数监管合规要求都注重获得供应链安全监控。
监督您的供应商会增加创建有效合规计划所需的大量文书工作。 因此,请确保对供应商、人员和数字进行分类,同时确保他们遵守安全控制。
- 确保您的内部股东了解他们在监控供应商方面的角色
- 记录供应商对您的网络、系统和软件的访问和授权
- 拥有最新列表,证明对供应商控制的有效监控
- 确保您审查他们的安全控制,记录他们的反馈并检查已完成的任何内部或外部审计
- 所有这些工作都应该有来自您存储在不同位置的每个供应商的文档
是什么让电子表格成为有效的合规管理工具?
大多数合规管理系统开始使用电子表格,因为它易于使用且价格便宜。 它还可以让您轻松记录您的控件。 云驱动程序提供了一种共享和编辑文档的简单方法。 因此,人们找到了一种更好的方法来建立内部股东问责制,而无需花费更多的钱。
由于某些因素,电子表格随着业务规模的扩大而增加。 随着供应商数量的增加,电子表格中添加了更多选项卡。
此外,由于云驱动程序保存了您添加的最新信息,因此很难跟踪一些错误。 比较不同的文件记录是压倒性的,因为您无法知道各方是否妥善管理了他们的审查。
对安全补丁等控件的更新很难充分记录。
这项工作既艰巨又耗时,因此带来了潜在的合规风险。
如何减轻合规管理负担?
市场上有一些产品可以让您在监控合规管理计划时高枕无忧。
它们带有一个简单易用的系统,可让您建立基于角色的文档访问权限。 因此,您的内部股东只会获得他们需要的数据。 您可以通过将文档链接到工作职责和职能来创建对文档的访问。 这允许 HR 对其供应商进行修改,而营销部门将可以访问他们的供应商。 这有助于合规主管有效地跟踪更改,同时确保正确的文档。
此外,它还提供工作流程和管理能力,让您可以将角色分配给人员并跟踪他们的进度。 您不必发送电子邮件更新和请求。
由于该系统是任何审计文档的真实来源,因此您将节省时间就审计请求提供反馈并节省审计过程的资金。
编者按: Ken Lynch 是一位企业软件初创公司的资深人士,他一直着迷于推动员工工作的因素以及如何让工作更具吸引力。 Ken 创立 Reciprocity 就是为了追求这一点。 他推动了 Reciprocity 的成功,这一基于使命的目标是让员工参与公司的治理、风险和合规目标,以培养更多具有社会意识的企业公民。 Ken 在麻省理工学院获得计算机科学和电气工程学士学位。 在 ReciprocityLabs.com 上了解更多信息。
对此有什么想法吗? 在下面的评论中让我们知道,或者将讨论带到我们的 Twitter 或 Facebook。
编辑推荐:
- 有效的工作流程审计管理流程
- 什么是合规和记录管理
- 什么是合规管理系统
- 网络分段和 PCI 合规性
- 确定 SOC2 审计范围