Управление жизненным циклом данных: политики и процедуры обеспечения безопасности и соответствия

Опубликовано: 31 Марта, 2023
Управление жизненным циклом данных: политики и процедуры обеспечения безопасности и соответствия

Управление жизненным циклом электронных данных не должно быть оставлено на волю случая. Им необходимо точно управлять с помощью четких политик и процедур для управления данными и обеспечения их безопасности и соответствия требованиям. При управлении электронными данными очевидны несколько этапов — например, создание или сбор, распространение, использование и обслуживание, хранение и хранение, а также удаление. В условиях, когда мир становится все более и более цифровым, а количество электронной информации постоянно растет, надлежащее управление информацией и управление ею имеют жизненно важное значение.

Политики и процедуры

Управление информацией состоит из необходимого набора политик и процедур, ориентированных на управление, контроль и доступ к информационным активам компании. Эти политики и процедуры включают физические и электронные записи; однако это не ограничивается этим.

Применение эффективного способа управления безопасным, правильным использованием и доступом к этим активам входит в компетенцию управления информацией и электронными записями. Существует сильное стремление к оцифровке физических документов, и бесчисленное количество организаций во многих секторах инициировали проекты по сокращению своих физических записей и переходу на цифровую платформу, где это возможно.

С увеличением количества инструментов для удаленной работы организации производят данные в виде записей, как видео, так и аудио, которые можно транскрибировать и хранить в облаке организации. Важно отметить, что юрисдикция, в которой работает организация, и приписываемые организации обязанности по соблюдению конфиденциальности и соответствию повлияют на то, как должным образом обрабатываются записи. Таким образом, управление этими типами записей также необходимо учитывать в подходе к управлению.

Электронное делопроизводство

Существует множество требований политики для надлежащего управления электронными записями, в том числе:

  • Анализ бизнес-контекста организации и определение требований к записям.
  • Общая политика управления информационными активами.
  • Создание и внедрение стандартов, касающихся процессов создания записей и контроля над записями, а также передовой практики цифрового хранения.
  • Политики хранения в отношении того, как долго эти данные могут храниться.
  • Политики классификации для классификации данных для возможности поиска, чтобы организация могла лучше управлять данными.
  • Политики, относящиеся к документам, записям, метаданным, базам данных, физическим записям, статистике и аналитике, системам записей и производным записям.
  • Политики, относящиеся к элементам, включая безопасность, непрерывность, доступность, права доступа, структуры метаданных, графики хранения, требования аудита, репозитории контента, мониторинг и планы аварийного восстановления.

Управление электронными записями

Изображение 9983

Управление электронными записями включает в себя следующее:

  1. Создание и захват

Очень важно определить, где находится запись, кто имеет к ней доступ и как с ней обращаться. Аутентификация, идентификация, целостность и представление записи означают, что она является частью коллекции записей организации и будет считаться частью набора данных. Эти записи требуют применения жизненного цикла, и рекомендуется вести электронный реестр всех записей, чтобы можно было применять соответствующие средства контроля.

  1. Техническое обслуживание, использование и хранение

Электронные записи, полученные данные и информация должны использоваться ответственно и по назначению. Записи должны вестись, быть точными и доступными для поиска. Маркировка и классификация этих записей теперь являются требованием для надлежащего управления электронными записями. Постоянный пересмотр технологических средств контроля данных, обеспечивающих их безопасность, является ключом к обеспечению конфиденциальности, целостности и доступности записи.

  1. Передача

Передача записи из одной системы или одной стороны в другую должна сопровождаться отображением потока данных о том, где были данные, где они находятся, а также о содержании записи. Такое управление метаданными полезно для отслеживания и управления данными в будущем, а также для обеспечения правильной обработки данных. Система передачи должна предоставлять подробные средства аудита, которые можно контролировать, чтобы обеспечить отчеты для управления управлением записями. Многие из этих процессов можно автоматизировать, чтобы снизить нагрузку на и без того растянутые кадровые ресурсы.

  1. Хранение и утилизация

Это часть жизненного цикла данных и управления ими. Организации склонны хранить информацию для долгосрочного использования; это часто неустойчиво. В некоторых случаях, касающихся конкретных правил, таких как GDPR, личные данные должны храниться только в течение периода, в течение которого данные требуются, и если организация имеет на это согласие. Даже если организация не обязана соблюдать GDPR, она должна внедрить передовые методы управления данными, такие как хранение и удаление данных, для улучшения управления данными.

  1. Метаданные

Метаданные должны управляться и контролироваться с тем же уровнем безопасности, что и данные, которым они принадлежат. Эти метаданные могут помочь в управлении данными и полезны в качестве исторического журнала процесса передачи записей и управления жизненным циклом данных.

  1. Составление отчетов

Чтобы иметь возможность предоставлять исчерпывающую отчетность по электронным записям, организациям потребуется адекватный мониторинг целостности, контроля доступа, доступности и конфиденциальности записей.

  1. Дополнительно — соответствие

Это можно рассматривать как дополнительный компонент! Тем не менее, это необходимо для соблюдения конкретных правил, законов и требований. Эта область должна быть подробно исследована и обозначена с точки зрения соответствия, чтобы гарантировать соответствие организации потребностям. Если это не учитывать, организация рискует попасть под потенциальные штрафы и гражданские иски.

Аспекты, которые следует учитывать при реализации подходящего процесса

Изображение 9984
Шаттерсток
  • Знайте, где находятся данные и кто имеет к ним доступ.
  • Внедрите правило наименьших привилегий, чтобы обеспечить доступ только для людей и систем, которым требуется доступ.
  • Весь доступ третьих лиц должен регулироваться с такой же или более высокой степенью безопасности, чем ваш внутренний контроль для внутренних сотрудников.
  • Предотвращайте несанкционированный доступ с помощью соответствующего уровня контроля доступа к электронным записям. Такие элементы управления, как мониторинг целостности файлов, комплексные разрешения и надлежащие процессы резервного копирования, являются ключевыми факторами, гарантирующими, что данные не будут уничтожены или изменены несанкционированным образом.
  • Убедитесь, что журнал аудита доступен. Это свидетельствует о том, что организация и люди соблюдают требования не только ради аудита, но и на благо организации.
  • Убедитесь, что данные удалены полностью. Сюда входят оперативные, заархивированные данные, данные, переданные третьим сторонам, и данные, находящиеся на удаленных устройствах. Комплексная политика уничтожения — это хорошая практика, и очень важно убедиться, что она правильно сформулирована для снижения риска.
  • Требуется возможность немедленного нахождения электронной записи и управления ею. Управление может включать в себя возможность блокировать доступ, уничтожать, удалять, изменять разрешения, архивировать, перемещать и передавать электронную запись.

Управление жизненным циклом данных — дисциплина, на которую организация должна обращать внимание

Поскольку цифровые записи являются основной частью повседневного бизнеса, а организации постоянно производят все больше и больше записей, организации должны понимать это правильно.

Надлежащее управление электронными записями не только обеспечивает надежный контроль создания, сбора, управления и доступа к данным, но также необходимо для соблюдения нормативных требований. Анализ пробелов часто является отличной отправной точкой, чтобы помочь организации встать на путь разработки дорожной карты по устранению пробелов для внедрения эффективного управления информацией и управления записями.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023