什么是合规和记录管理

已发表: 2019-01-10

内部审计师要求提供有关记录管理和文档的信息，这让许多部门负责人感到恐惧和不确定。

您不仅应该实现多年的保留，还应该确保信息得到充分保护。

记录管理的定义

记录管理需要记录信息并在规定的时间内对其进行保护。随着技术的进步，企业可以为他们可能永远不会与之交易的人获取数据！这可能以工作申请和营销助手的形式出现。您需要有适当的机制在适当的时候收集、分类、存储和处置这些文件。

一些监管机构只会关注与员工和客户相关的数据。但是，诸如通用数据保护条例 (GDPR) 等一些法规要求您保护您与之交互的所有数据免受任何形式的破坏。例如，营销人员收集的信息在潜在客户生成计划之后可能看起来没有必要，但这对您的业务来说是一个重大的数据风险。

典型的保留计划：它们是什么？

不同的行业有不同的记录保留时间表。例如，要求银行收集的所有信息必须存储 5 年。最常用的数据保留计划类别包括 3 年、5 年、7 年、10 年或永久保留计划。

数据保留如何影响您的组织

技术先进的数据收集方法的发展使数据保留和保护过程变得复杂。与您可以收集文件并将其存储在有人看守的仓库中的过去不同，今天的环境是高度数字化的！这要求您投资于数据存储程序并建立防止数据泄露的安全措施。

您还应该确保拥有适当的跟踪系统。这将帮助您轻松处理超过保留限制的文档。

创建记录管理政策的 5 个关键步骤

在准备此政策时，您需要使用 ISO 15489 指南。此外，请确保您制定措施以确保合规性。这些步骤包括：

查看资产和存储位置

确保您了解您存储的所有信息以及特定的存储位置。这将帮助您根据增强数据泄露安全性所需的参数对数据进行排序。记录可分为：

可操作。这是日常业务运营必不可少的信息。包括客户数据、员工信息、组织结构图、税务信息、数据访问和授权、营销信息、人力资源文件和董事会会议记录。
合法的。这些数据围绕企业的法律责任展开。它包括公司章程、诉讼、第三方供应商信息、同意书和保险单信息。
紧急。这涉及确保业务连续性和解决灾难所需的所有信息。它包括紧急访问授权、设施蓝图、政策和程序、安全代码和技术系统文档。
金融。这些信息包括资产、负债和财务历史。它包括投资细节、工资单信息、分类账和银行文件。
基于位置。信息可以存储在网络、服务器、云存储、现场和非现场位置以及备份中。

审查数据重要性和风险率

至关重要的是，所有政策都必须关注关键信息，因为这些信息的干扰会导致中断或财务损失。这些问题在审查期间是必要的：

业务连续性是否需要这些信息？
数据丢失会导致金钱损失吗？
重建数据成本高吗？
如果丢失，您应该以多快的速度恢复信息？
可以从其他来源获得信息吗？
文件是实体的还是数字的？

审查信息的风险

在决定保留期限时，您应该考虑信息的长期需求以及丢失时的恢复成本。这些是指导性问题：

谁负责数据？
您是否有足够的控制措施，例如加密和防火墙？
您的信息格式是什么？
是否可以记录所有交易？
谁可以访问这些信息？
您如何规范/验证控制？

监控记录保护

如果您未能经常监控您的信息，您将遭受诚信违规！

您是否经常监控所有软件、服务器和网络的风险？
你在更新你的软件吗？
被解雇的员工是否继续访问数据？
您是否在监控外部威胁？
您是否正在审查您的访问权限？

记录的处置

您应该有一个处理您的记录的计划。确保您在此过程中不违反法规要求。确保您有备份和经过验证的处置机构来完成该过程。

在记录管理中使用技术

使用自动化工具可帮助您整齐地组织所有数据（物理数据和数字数据）。它可以节省审计过程所需的时间和资源，从而更容易遵守监管机构。

编者按： Ken Lynch 是一位企业软件初创公司的资深人士，他一直着迷于推动员工工作的因素以及如何让工作更具吸引力。 Ken 创立 Reciprocity 就是为了追求这一点。他推动了 Reciprocity 的成功，这一基于使命的目标是让员工参与公司的治理、风险和合规目标，以培养更多具有社会意识的企业公民。 Ken 在麻省理工学院获得计算机科学和电气工程学士学位。在 ReciprocityLabs.com 上了解更多信息。

对此有什么想法吗？ 在下面的评论中让我们知道，或者将讨论带到我们的 Twitter 或 Facebook。

编辑推荐：

网络分段和 PCI 合规性
PCI DSS 日志管理
确定 SOC2 审计范围
审计要求——美国私营公司
风险管理计划——它的用途是什么？