事实标明,与IT系统和数据关系的法则日益增多。IT指导者必须尽我方的一份力量,幸免可能因违纪而导致广大罚金的常见特别。
[[440130]]
合规性是简直每家公司濒临的严峻事实——尤其是在医疗保健、金融功绩和政府等高度监管的行业。天然合规性等闲受到法律、合规、风险料理或其他部门的监管,但IT部门投诚会参与企业的合规性责任。
企业的CIO和其他工夫摆布必须了解所有波及数据、秘密、安全和其他工夫要素的法则。他们不错进展环节作用,确保他们地点的公司不会因为违纪而受到广大罚金的打击。
多年来,好意思国医疗保健和关系行业的IT高管不得不交代《健康保障教唆与职称职案》(HIPAA)的影响,举例,该法案法则了电子医疗保健信息的安全性和秘密性。但是监管环境变得越来越复杂,尤其是出现了很多波及数据秘密的新法令,其中包括欧盟的通用数据保护条例(GDPR)和加州亏欠者秘密法案(CCPA)。
寰球数十个国度和好意思国各州也制定了雷同的法则来保护个东说念主数据。料想机构Gartner公司预计,到2023年底,当代秘密法则将涵盖寰球75%东说念主口的个东说念主信息。
与IT系统、相聚、开采和数据关系的合规性是现在企业濒临的实验,使其成为CIO温雅的遑急范畴。环节是在不影响业务运营的情况下开展合规性责任。因此,企业需要幸免以下一些特别:
1.将审计师视为敌手米德尔菲尔德银行CIO Gary Kern暗示,无意IT高管很难不采纳退缩姿态。当审计东说念主员和审查东说念主员质疑其IT计较极端对合规性的影响时,就会发生这种情况。他说,“当有东说念主对IT高管三想尔后行的策略挑出特别时,就会知说念他们要对某些事情发表驳斥。”
然则,为这种事情制造摩擦无助于处分问题。Kern说:“最佳是进行面对面的筹谋,筹谋他们的不雅点,并想考若何让运营的环境变得更好。但愿是每个东说念主都在为归拢件事尽力,包括制定合规法律法令的东说念主,那便是确保不会发生特别,使运营环境更好,过程更透明。”
Kern以他的亲自资历来熟谙这种策略。他说,“我并不认归拢些初法式查遵守,因此我与首席IT审查员进行了长远筹谋,以了解得到不利驳斥的原因,并尝试收受非退缩性的边幅进行解释。咱们为此达成了共鸣,两边都以为这是公道的,然后赓续进行。”
大致六个月后,与其进行筹谋的首席IT审查员邀请Kern插足审查员年度宇宙培训会议。他说,“事实解说,这对我来说是一次很棒的资历,它为我提供了对通盘过程的更好想法。”
考虑机构Protiviti公司工夫考虑业务总司理Samir Datt暗示,监管机构等闲会从里面审计(IA)论述中获取他们的意见。他说,“淌若CIO与IA过程息争并接受该过程,而不是隐秘,他们就有契机在监管审查之前主动处分监管合规问题。”
2.以特别的边幅处理异常大多数法令都有例外,这适用于料理IT不同方面的法则。
Kern说,“很少有事情在100%的情况下都是正确的谜底,尤其是在需要量度业务、安全和客户影响的情况下。因此,最佳建立一个异常料理过程。”
这个过程包括记载正在作念的事情以及为什么它可能与现存合规法令艰涩;正在采纳哪些突出方法来收场合规规划;是否永恒性地绕过法令,或者是否将按时进行审查;以及哪些高档非IT利益关系者签署了例外的条件。
Kern说,“天然,有些法令根蒂无法绕过。但是,在需要作出业务决策以‘接受风险’的情况下,一定要充领悟释这少量。合规性的意图若何以其他边幅处理,或在每种情况下可能莫得预想的情理,都应该记载下来。”
3.莫得让团队作念好准备与大多数IT团队濒临的问题相同,枯竭必要的妙技、训导和学问可能会导致合规性问题。
HPE公司CIO Rashmi Kumar说,“广阔的合规策略始于其团队。”他说,CIO必须建立一个合规团队,使用捏续阅兵的方法来交代与IT关系的法则要求变化。
Kumar暗示,“HPE公司的寰球IT合规团队依赖于捏续阅兵计较,在该计较中,咱们不断笃定合规计较在论述、参与和胁制料理方面所需的更变。诳骗咱们的合规性方法,咱们概况将字据请托时间裁减五天。”
Kumar暗示,合规责任需要跨职能。他说:“咱们将合规性纳入每个东说念主的规划,让每个东说念主都负起职守。这确保得到他们的相沿和参与,最终促进合规性文化的发展。”
4.允许合规性决定安全性医疗保健支付功绩商Zelis公司首席信息安全官Russel Prouix暗示,天然IT和相聚安全指导者需要实时了解合规性问题,尤其是监管要求,但其规划应该永远是一个健全的安全计较,以适合地相沿企业的业务、规划和运营的垂直行业。淌若这么作念,那么合规性就会成为一种遵守,而不单是是规划。
Prouix说,基本的安全措施等闲料理不善,导致合规性成为掩饰。这包括适合的修补和缝隙料理、用户帐户安全(或在职工离开企业时实时删除帐户)、使用双要素身份考据进行云尔探听,以及对迁徙开采进行适合的安全和迁徙开采料理。
Prouix说,“适合的安全需要从上至下的方法。在尝试实施任何相聚安全计较(包括相沿合规性的计较)之前,必须赢得董事会、首席施行官和行政指导层的相沿能力定下基调。然后IT和安全需要与企业息争以确保数据受到保护,同期使数据概况流动,从而使企业抖擞发展并保捏竞争力。”
5.莫得收受环节工夫用具天然法律和合规团队可能崇拜采购自豪合规性需求的工夫,但IT指导者天然不错参与匡助遴荐和部署最合适的处分决策。
Gartner公司于2021年9月笃定了合规性指导者应将其工夫投资重心放在三个范畴。第一个范畴是基础记载系统。该公司暗示,对这些合规性系统的投资不错减少论述和构建数据集所需的临时数据拿获,从而开释数据分析和东说念主工智能(AI)在合规方面的后劲。
第二个范畴是数字化的责任过程。Gartner公司暗示,法律和合规团队濒临的料理工作比以往任何时候都多,通过工夫收场最大流量责任流的数字化是可行的,不错显耀改善责任流。
第三个范畴是风险的数字化料理。Gartner公司暗示,监管波动、数字业务转型、不断加多的相聚安全风险,以及从受监控的风险和安全活动中获取的多量信息,正在胁制企业通过传统模拟边幅灵验料理风险的才略。合规崇拜东说念主应该寻找契机简化风险料理和合规关系活动,并通过与运营级数据源的系统集成来普及他们对风险的默契。
Gartner公司法律和合规实践考虑总监Zack Hutto指出,传统的合规团队对工夫的收受逾期于很多其他公司职能部门。他说,这些团队应该率先建立基础记载系统,然后投资用具以促进环节责任过程,然后再探索更复杂的契机,举例数字化风险料理。
6.不了解监管意图在某些情况下,企业对监管问题的默契可能与监管意图不齐全一致,这可能会导致污染。这适用于与IT关系的问题,举例数据秘密。
Datt说,“咱们频繁看到一些企业在莫得真的默契监管机构要求的情况下回答,监管机构等闲会提供不雅察/或需要戒备的事项。
Datt暗示,企业应该真的默契指令的内容,而不是过分温雅需要戒备的事项。他说,“与监管者进行淡雅的息争对话有助于默契监管机构的监管内容。”
7.枯竭结构化治理Datt暗示,天然企业可能有内容性的过程和胁制措施,但它们不时枯竭一个结构化的治理和风险框架以说明风险遮蔽范围,并使其过程和胁制措施与监管要求保捏一致。
他说:“枯竭结构化和文档化的过程可能导致企业架构/胁制的非感性化,在反应监管或其他利益关系者查询时出现紊乱或潜在的风险盲点。”
Datt指出,CIO和其他工夫指导者应该构建一个举座治理架构,该架构将信息安全、企业架构、应用模范和基础架构团队纠合在一都,并通过遐想将合规性融入工夫请托中。
