合規管理的最佳實踐
已發表: 2019-01-10由於新法規和更新的行業法規現在管理著許多企業,合規管理現在是所有行業的重點。 在大多數情況下,合規要求涉及對電子表格的徹底檢查。
著名的網絡安全專家建議您審查您的數據環境並確保控制有效性。 這將幫助您減輕任何可能的數據洩露。 使合規成為業務的一部分很重要。
然而,如果您的數據在各個部門中保持密封,那麼維護準確和更新的數據可能會很困難。
創建有效的公司合規計劃的提示
擁有業務合規計劃需要創建一個致力於總體法律和行業必需品的團隊。 過去,首席信息安全官 (CISO) 或首席信息官過去常常與您的合規部門合作創建公司合規計劃。 然而,事情正在發生不同的轉變。
您的企業必須建立跨部門溝通。 您的企業將整合更多軟件即服務 (SaaS) 以促進運營。 因此,您將需要組織更多的內部股東討論。
例如,人力資源部門可能會選擇使用多個 SaaS 平台來讓他們有效地執行各種任務。 這些平台包括支付工人的計費媒介和跟踪工時的平台。 此外,您的營銷部門可能正在使用社交媒體調度平台和聯繫人數據庫平台。 所有這些支持 SaaS 的平台都在增加您的合規風險方面發揮作用。
因此,您的公司合規計劃應包括一個跨部門團隊,以便您記錄所有資產。
制定有效的風險管理計劃
這是您創建的團隊的工作,他們聚集在一起並評估他們的資產帶來的風險。 要製定有效的風險管理計劃,您必須確定容易遭到破壞的數據類型以及它將如何影響業務。
首先,您需要創建所有數字數據資產的目錄。 這將包括來自系統和網絡、應用程序和軟件的所有數據。
然後,您將查看存儲在這些資產中的數據、傳輸和處理。 請注意,您的數字資產交互的數據類型可能會改變所涉及的風險級別。
需要保護的信息往往會根據各種情況發生變化。
這包括:
- 誰在使用它
- 他們如何與之互動
- 這是什麼
- 它存儲在哪裡
- 它是如何傳播的
- 管理供應商風險的方法
目前,SaaS平台的使用量正在以最快的速度增長。 出於這個原因,管理供應商風險一直是一個更深層次的困境。 大多數監管合規要求都注重獲得供應鏈安全監控。
監督您的供應商會增加創建有效合規計劃所需的大量文書工作。 因此,請確保對供應商、人員和數字進行分類,同時確保他們遵守安全控制。
- 確保您的內部股東了解他們在監控供應商方面的角色
- 記錄供應商對您的網絡、系統和軟件的訪問和授權
- 擁有最新列表,證明對供應商控制的有效監控
- 確保您審查他們的安全控制,記錄他們的反饋並檢查已完成的任何內部或外部審計
- 所有這些工作都應該有來自您存儲在不同位置的每個供應商的文檔
是什麼讓電子表格成為有效的合規管理工具?
大多數合規管理系統開始使用電子表格,因為它易於使用且價格便宜。 它還可以讓您輕鬆記錄您的控件。 雲驅動程序提供了一種共享和編輯文檔的簡單方法。 因此,人們找到了一種更好的方法來建立內部股東問責制,而無需花費更多的錢。
由於某些因素,電子表格隨著業務規模的擴大而增加。 隨著供應商數量的增加,電子表格中添加了更多選項卡。
此外,由於雲驅動程序保存了您添加的最新信息,因此很難跟踪一些錯誤。 比較不同的文件記錄是壓倒性的,因為您無法知道各方是否妥善管理了他們的審查。
對安全補丁等控件的更新很難充分記錄。
這項工作既艱鉅又耗時,因此帶來了潛在的合規風險。
如何減輕合規管理負擔?
市場上有一些產品可以讓您在監控合規管理計劃時高枕無憂。
它們帶有一個簡單易用的系統,可讓您建立基於角色的文檔訪問權限。 因此,您的內部股東只會獲得他們需要的數據。 您可以通過將文檔鏈接到工作職責和職能來創建對文檔的訪問。 這允許 HR 對其供應商進行修改,而營銷部門將可以訪問他們的供應商。 這有助於合規主管有效地跟踪更改,同時確保正確的文檔。
此外,它還提供工作流程和管理能力,讓您可以將角色分配給人員並跟踪他們的進度。 您不必發送電子郵件更新和請求。
由於該系統是任何審計文檔的真實來源,因此您將節省時間就審計請求提供反饋並節省審計過程的資金。
編者按: Ken Lynch 是一位企業軟件初創公司的資深人士,他一直著迷於推動員工工作的因素以及如何讓工作更具吸引力。 Ken 創立 Reciprocity 就是為了追求這一點。 他推動了 Reciprocity 的成功,這一基於使命的目標是讓員工參與公司的治理、風險和合規目標,以培養更多具有社會意識的企業公民。 Ken 在麻省理工學院獲得計算機科學和電氣工程學士學位。 在 ReciprocityLabs.com 上了解更多信息。
對此有什麼想法嗎? 在下面的評論中讓我們知道,或者將討論帶到我們的 Twitter 或 Facebook。
編輯推薦:
- 有效的工作流程審計管理流程
- 什麼是合規和記錄管理
- 什麼是合規管理系統
- 網絡分段和 PCI 合規性
- 確定 SOC2 審計範圍