A szabályozási, kockázati és megfelelőségi (GRC) fogalmak ismertetése

  • 4 perc

A szervezetek egyre összetettebbek és változnak a szabályozási környezetekben, és strukturáltabb megközelítést szorgalmaznak a szabályozás, a kockázat és a megfelelőség (GRC) kezeléséhez.

Diagram showing a GRC framework.

A szervezetek GRC-kompetencia kialakításával olyan keretrendszert hozhatnak létre, amely magában foglalja konkrét szabályzatok, működési folyamatok és technológiák implementálását. A GRC kezelésének strukturált megközelítése segít a szervezeteknek csökkenteni a kockázatokat és javítani a megfelelőség hatékonyságát.

A GRC-kompetencia létrehozásának fontos előfeltétele a kulcskifejezések megértése.

Szabályozás

A szabályozás a szabályok, eljárások és folyamatok rendszere, amelyet a szervezet a tevékenységei irányítására és irányítására használ. Számos irányítási tevékenység külső szabványokból, kötelezettségekből és elvárásokból ered. A szervezetek például olyan szabályokat és folyamatokat hoznak létre, amelyek meghatározzák, hogy ki, mit, hol és mikor férhetnek hozzá a felhasználók és alkalmazások a vállalati erőforrásokhoz, és ki rendelkezik rendszergazdai jogosultságokkal és mennyi ideig.

Kockázat

A kockázatkezelés a vállalati vagy ügyfélcélokat befolyásoló fenyegetések vagy események azonosításának, értékelésének és megválaszolásának folyamata. A szervezetek külső és belső forrásokból is kockázattal szembesülnek. A külső kockázatok a politikai és gazdasági erők időjárással kapcsolatos eseményeiből, világjárványaiból és biztonsági incidenseiből eredhetnek, hogy csak néhány forrást említsünk. A belső kockázatok olyan kockázatok, amelyek a szervezeten belülről származnak. Ilyenek például a bizalmas adatok kiszivárgása, a szellemi tulajdon ellopása, a csalás és az insider kereskedelem.

Megfelelőség

A megfelelőség azokra az országokra/régiókra, állami vagy szövetségi törvényekre vagy akár több nemzeti szabályozásra vonatkozik, amelyeket a szervezetnek követnie kell. Ezek a rendeletek határozzák meg, hogy milyen típusú adatokat kell védeni, milyen folyamatokra van szükség a jogszabályokban, és milyen szankciókat kell kibocsátani azoknak a szervezeteknek, amelyek nem felelnek meg a követelményeknek.

Fontos megjegyezni, hogy a megfelelőség nem ugyanaz, mint a biztonság. A megfelelőségi terv létrehozásakor azonban figyelembe kell venni a biztonságot, mivel a hatékony biztonság gyakran megfelelőségi követelmény. A megfelelőséghez csak a jogszabályban előírt minimumkövetelmények teljesülése szükséges, míg az adatbiztonság minden olyan folyamatra, eljárásra és technológiára kiterjed, amely meghatározza, hogyan kell gondoskodni a bizalmas adatokról, és hogyan kell védekezni a jogsértések ellen.

A megfelelőséghez kapcsolódó fogalmak közé tartoznak a következők:

  • Adattárolás – A megfelelőség szempontjából az adattárolási szabályok szabályozzák azokat a fizikai helyeket, ahol az adatok tárolhatók, valamint azt, hogy az adatok hogyan és mikor továbbíthatók, dolgozhatók fel vagy érhetők el nemzetközileg. Ezek a szabályozások a joghatóságtól függően jelentősen eltérhetnek.
  • Adatelkülönlegezés – Egy másik fontos szempont az adatelkülönítettség, az a fogalom, hogy az adatokra, különösen a személyes adatokra annak az országnak/régiónak a törvényei és szabályai vonatkoznak, amelyben fizikailag gyűjtik, tartják vagy dolgozzák fel. Ez összetettségi réteget adhat a megfelelőség szempontjából, mivel ugyanezek az adatok összegyűjthetők egy helyen, tárolhatók egy másik helyen, és feldolgozhatók még egy másik helyen; különböző országokból/régiókból származó törvények hatálya alá tartoznak.
  • Adatvédelem – A személyes adatok gyűjtéséről, feldolgozásáról, felhasználásáról és megosztásáról szóló értesítés és transzparens tájékoztatás az adatvédelmi törvények és szabályozások alapvető alapelvei. Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. Az adatvédelmi törvények magukban foglalják azokat az adatokat, amelyek közvetlenül vagy közvetve összekapcsolhatók egy személlyel. A szervezetekre számos törvény, rendelet, magatartási kódex, iparágspecifikus szabványok és adatvédelmi előírások vonatkoznak és összhangban kell lenniük.

Minden szervezet úgy kezeli az adatokat, hogy a terminológia és a megfelelőséghez kapcsolódó fogalmak megértése fontos legyen, mivel a minimális, előírt törvények és/vagy szabályozások betartása érdekében dolgoznak.