创新与应用案例

Contoural发布白皮书提出构建现代信息治理战略

日期:2020-12-18

|  来源:【字号:

数字化时代,各类组织面临着不断增加的数据量、更严格的法律和监管记录要求、更严格的隐私规则、越来越多的违规威胁以及员工生产力下降的情况。企业管理者发现,在新的环境中,旧有的、传统的档案策略越来越无效。这促使各类组织重新思考他们的方法,开发以电子信息为中心的更现代的信息治理策略。知名的信息治理咨询服务的独立供应商Contoural发布白皮书讨论了这些的信息管理挑战,阐述了需要通过现代信息治理战略来解决这些问题。

1. 信息管理环境正在发生变化

新的和更严格的法律和监管要求,加上不断积累的电子信息,正在给企业带来新的风险和挑战。这些变化正在全球范围内发生。传统的归档方法无法满足这些新的要求,这促使许多企业重新审视他们如何管理信息。

2. 合规要求越来越多

在保留更多信息的同时,法律和监管要求也越来越严格。根据ARMA的数据,平均每个跨国企业都面临着超过30,000项法律和监管记录的要求。在过去的十年里,出现了一系列的联邦、州和特定行业层面的新要求。这些要求包括,例如,多德-弗兰克等法规,以及对现有的保留条款的更新。此外,如美国的FINRA、加拿大的IIROC和英国的FCA法案均有类似要求,这使得那些在全球范围内开展业务的机构要面对来自多个国家的法规。

3. 电子取证越来越难

随着纸质信息和电子信息的不断积累,当一个机构面对诉讼或监管调查时,会产生非常严峻的挑战。首先,电子信息的数量之大、范围之广,增加了对发现请求不作回应的风险。由于不知道公司拥有什么,往往会迫使他们翻阅所有的资料。其次,日益增加的数量和缺乏控制大大增加了发现成本,影响诉讼策略。需要注意的是,根据美国和加拿大较新的研究发现,能够在信息生产过程中早期识别他们拥有的东西的机构可能只产生较少的信息。然而,在“保存一切,无处不在”的信息管理环境中,这一策略往往难以实施。

 

4. 新的隐私要求

全球隐私规则正在改变信息格局。从历史上看,许多组织在处理电子记录保留问题时,事实上采取了“永远保存一切”的方法,认为这样做至少可以满足法规的最低保留要求。然而,新的全球隐私规则令此添加了变数。以前公司可以永远保存所有的东西,在新的全球隐私规则下将要求机构处理掉那些不需要的隐私信息。这些隐私信息存在于数据库、文件、电子邮件和纸质文件中。欧盟的一般数据保护条例要求各类机构仅在履行收集和处理个人数据的原始依据的必要时间内保留个人数据,而不需要延长保留时间。

5. 需要保护敏感信息不被泄露

许多组织都知道他们的信息中包含重要的知识产权、商业秘密和其他类型的敏感信息。他们错误地认为,这些信息被存储在公司的共享文件或内容管理系统中,因此受到保护。然而,即使在严格控制的环境中,敏感信息也经常从安全区域向不安全区域泄漏。

员工、承包商和其他经授权的个人经常将机密或敏感数据存储在公司共享文件、电子邮件或便携式设备。一旦进入这些不安全的位置,数据可能会被直接遗忘。存储库本身缺乏访问控制,暗示着数据泄露或数据泄漏的潜在风险。随着组织积累的数据量不断增加,数据可能存放在越来越多的潜在不安全的地方,发生数据泄露或泄漏的风险就更大。

6. 影响员工的工作效率

信息管理不善会带来一些法律、法规和安全方面的挑战,同时也会极大地影响和降低员工的工作效率。对电子邮件和文件(文档)采取“把所有东西都保存起来”以备不时之需的员工,很快就会发现很难在杂乱无章中找到自己的信息。据Gartner咨询公司估计,员工平均每周要浪费3.5小时以上的时间来寻找电子邮件或文件的正确版本。当离职时,这个问题就更加复杂了。从一个现代的、合规的和更容易执行的记录保存计划向电子作为信息的主要通信媒介的转变,改变了各组织创造、接收、分享和协作信息的方式。因此,推动这些信息的识别、分类、保留、检索和处置的政策和时间表也应该改变。

7. 有效的数据安全分类

任何信息管理计划的基石是识别、分类、保护和处理隐私、知识产权、商业秘密和其他类型的敏感信息。现代程序将数据安全等级直接建立在数据管理的基础上。私人、敏感、个人身份信息的流动,并根据适用的内部政策和外部法规评估现有控制措施的有效性。同样重要的是,他们正在将非管理和不安全的存储库的信息转移到管理、控制和安全的存储库中。这种将隐私和安全纳入信息管理计划的重点,最大限度地降低了数据泄露的风险和敏感或关键信息的任何滥用。

8. 实现有针对性的和持续的可防御性处置

保留过时的、过期的、因法律、监管或业务原因而不需要的信息可能代价高昂。更重要的是,新的隐私制度要求对隐私信息进行处置。处置被分为两个独立的阶段。首先,各个组织正在部署有针对性的处置策略。例如,删除欧洲公民提出的“删除权”请求中的个人信息。一旦收到这些请求,组织首先需要识别所有媒体上的任何隐私信息,包括文件和电子邮件。保存任何记录保存要求,然后需要选择并删除这些信息。其次,采用常规的、持续的流程来删除过期记录以及不需要的或低商业价值的信息。这一策略同样是针对电子邮件、文件、纸张和其他类型的介质。这些处置流程需要尊重正在进行的记录保留期,以及法律保留流程。处置应针对服务器中的电子邮件和文件共享中的文件等活动数据,以及备份磁带中的非活动数据。

 

总之,新的信息管理策略需要将信息治理战略的各个部分整合在一起。现代战略涉及许多驱动因素,包括法律和监管记录保存要求、更严格的隐私规则、日益增长的违规威胁以及员工生产力和处置能力的下降。一个现代化的战略不仅包含了所有这些驱动因素,而且越来越多地将独立的记录、隐私和发现计划转变为一个综合的信息治理计划。

来源:ITPro

附件: