什麼是合規和記錄管理

已發表: 2019-01-10

內部審計師要求提供有關記錄管理和文檔的信息，這讓許多部門負責人感到恐懼和不確定。

您不僅應該實現多年的保留，還應該確保信息得到充分保護。

記錄管理的定義

記錄管理需要記錄信息並在規定的時間內對其進行保護。隨著技術的進步，企業可以為他們可能永遠不會與之交易的人獲取數據！這可能以工作申請和營銷助手的形式出現。您需要有適當的機制在適當的時候收集、分類、存儲和處置這些文件。

一些監管機構只會關注與員工和客戶相關的數據。但是，諸如通用數據保護條例 (GDPR) 等一些法規要求您保護您與之交互的所有數據免受任何形式的破壞。例如，營銷人員收集的信息在潛在客戶生成計劃之後可能看起來沒有必要，但這對您的業務來說是一個重大的數據風險。

典型的保留計劃：它們是什麼？

不同的行業有不同的記錄保留時間表。例如，要求銀行收集的所有信息必須存儲 5 年。最常用的數據保留計劃類別包括 3 年、5 年、7 年、10 年或永久保留計劃。

數據保留如何影響您的組織

技術先進的數據收集方法的發展使數據保留和保護過程變得複雜。與您可以收集文件並將其存儲在有人看守的倉庫中的過去不同，今天的環境是高度數字化的！這要求您投資於數據存儲程序並建立防止數據洩露的安全措施。

您還應該確保擁有適當的跟踪系統。這將幫助您輕鬆處理超過保留限制的文檔。

創建記錄管理政策的 5 個關鍵步驟

在準備此政策時，您需要使用 ISO 15489 指南。此外，請確保您制定措施以確保合規性。這些步驟包括：

查看資產和存儲位置

確保您了解您存儲的所有信息以及特定的存儲位置。這將幫助您根據增強數據洩露安全性所需的參數對數據進行排序。記錄可分為：

可操作。這是日常業務運營必不可少的信息。包括客戶數據、員工信息、組織結構圖、稅務信息、數據訪問和授權、營銷信息、人力資源文件和董事會會議記錄。
合法的。這些數據圍繞企業的法律責任展開。它包括公司章程、訴訟、第三方供應商信息、同意書和保險單信息。
緊急。這涉及確保業務連續性和解決災難所需的所有信息。它包括緊急訪問授權、設施藍圖、政策和程序、安全代碼和技術系統文檔。
金融。這些信息包括資產、負債和財務歷史。它包括投資細節、工資單信息、分類賬和銀行文件。
基於位置。信息可以存儲在網絡、服務器、雲存儲、現場和非現場位置以及備份中。

審查數據重要性和風險率

至關重要的是，所有政策都必須關注關鍵信息，因為這些信息的干擾會導致中斷或財務損失。這些問題在審查期間是必要的：

業務連續性是否需要這些信息？
數據丟失會導致金錢損失嗎？
重建數據成本高嗎？
如果丟失，您應該以多快的速度恢復信息？
可以從其他來源獲得信息嗎？
文件是實體的還是數字的？

審查信息的風險

在決定保留期限時，您應該考慮信息的長期需求以及丟失時的恢復成本。這些是指導性問題：

誰負責數據？
您是否有足夠的控制措施，例如加密和防火牆？
您的信息格式是什麼？
是否可以記錄所有交易？
誰可以訪問這些信息？
您如何規範/驗證控制？

監控記錄保護

如果您未能經常監控您的信息，您將遭受誠信違規！

您是否經常監控所有軟件、服務器和網絡的風險？
你在更新你的軟件嗎？
被解僱的員工是否繼續訪問數據？
您是否在監控外部威脅？
您是否正在審查您的訪問權限？

記錄的處置

您應該有一個處理您的記錄的計劃。確保您在此過程中不違反法規要求。確保您有備份和經過驗證的處置機構來完成該過程。

在記錄管理中使用技術

使用自動化工具可幫助您整齊地組織所有數據（物理數據和數字數據）。它可以節省審計過程所需的時間和資源，從而更容易遵守監管機構。

編者按： Ken Lynch 是一位企業軟件初創公司的資深人士，他一直著迷於推動員工工作的因素以及如何讓工作更具吸引力。 Ken 創立 Reciprocity 就是為了追求這一點。他推動了 Reciprocity 的成功，這一基於使命的目標是讓員工參與公司的治理、風險和合規目標，以培養更多具有社會意識的企業公民。 Ken 在麻省理工學院獲得計算機科學和電氣工程學士學位。在 ReciprocityLabs.com 上了解更多信息。

對此有什麼想法嗎？ 在下面的評論中讓我們知道，或者將討論帶到我們的 Twitter 或 Facebook。

編輯推薦：

網絡分段和 PCI 合規性
PCI DSS 日誌管理
確定 SOC2 審計範圍
審計要求——美國私營公司
風險管理計劃——它的用途是什麼？