Menjelaskan konsep tata kelola, risiko, dan kepatuhan (GRC)

Selesai

Organisasi menghadapi peningkatan kompleksitas dan perubahan lingkungan peraturan, menyerukan pendekatan yang lebih terstruktur untuk mengelola tata kelola, risiko, dan kepatuhan (GRC).

Diagram memperlihatkan kerangka kerja GRC.

Karena organisasi menetapkan kompetensi GRC, mereka dapat menetapkan kerangka kerja yang mencakup penerapan kebijakan, proses operasional, dan teknologi tertentu. Pendekatan terstruktur untuk mengelola GRC membantu organisasi mengurangi risiko dan meningkatkan efektivitas kepatuhan.

Prasyarat penting untuk menetapkan kompetensi GRC adalah memahami syarat-syarat utamanya.

Pemerintahan

Tata kelola adalah sistem aturan, praktik, dan proses yang digunakan organisasi untuk mengarahkan dan mengontrol aktivitasnya. Banyak aktivitas tata kelola muncul dari standar eksternal, kewajiban, dan harapan. Misalnya, organisasi menetapkan aturan dan proses yang menentukan siapa, apa, di mana, dan kapan pengguna dan aplikasi dapat mengakses sumber daya perusahaan dan yang memiliki hak administratif dan berapa lama.

Risiko

Manajemen risiko adalah proses mengidentifikasi, menilai, dan merespons ancaman atau peristiwa yang dapat memengaruhi tujuan perusahaan atau pelanggan. Organisasi menghadapi risiko dari sumber eksternal dan internal. Risiko eksternal dapat berasal dari peristiwa terkait cuaca kekuatan politik dan ekonomi, pandemi, dan pelanggaran keamanan hanya untuk memberi nama beberapa sumber. Risiko internal adalah risiko yang berasal dari dalam organisasi itu sendiri. Contohnya termasuk kebocoran data sensitif, pencurian kekayaan intelektual, penipuan, dan perdagangan dari dalam.

Kepatuhan

Kepatuhan mengacu pada undang-undang negara/wilayah, negara bagian, atau federal atau bahkan peraturan multi-nasional yang harus diikuti organisasi. Peraturan ini menentukan jenis data apa yang harus dilindungi, proses apa yang diperlukan berdasarkan undang-undang, dan hukuman apa yang ditetapkan bagi organisasi yang gagal mematuhinya.

Penting untuk diperhatikan bahwa kepatuhan tidak sama dengan keamanan. Tetapi, keamanan harus dipertimbangkan saat membangun rencana kepatuhan karena keamanan yang efektif sering menjadi persyaratan kepatuhan. Kepatuhan hanya mengharuskan standar minimum yang diamanatkan secara hukum terpenuhi sedangkan keamanan data mencakup semua proses, prosedur, dan teknologi yang menentukan cara Anda menjaga data sensitif dan menjaga dari pelanggaran.

Beberapa konsep terkait kepatuhan meliputi:

  • Residensi data - Dalam hal kepatuhan, peraturan residensi data mengatur lokasi fisik tempat data dapat disimpan dan bagaimana serta kapan data tersebut dapat ditransfer, diproses, atau diakses secara internasional. Peraturan ini dapat berbeda secara signifikan bergantung pada yurisdiksinya.
  • Kedaulatan data - Pertimbangan penting lainnya adalah kedaulatan data, konsep bahwa data, khususnya data pribadi, tunduk pada hukum dan peraturan negara/wilayah tempat data tersebut dikumpulkan, disimpan, atau diproses secara fisik. Hal ini dapat menambah lapisan kerumitan dalam hal kepatuhan karena bagian data yang sama dapat dikumpulkan di satu lokasi, disimpan di tempat lain, dan diproses di tempat lain lagi; membuatnya tunduk pada hukum dari berbagai negara/wilayah.
  • Privasi data - Memberikan pemberitahuan dan bersifat transparan tentang pengumpulan, pemrosesan, penggunaan, dan pembagian data pribadi adalah prinsip dasar hukum dan peraturan privasi. Data pribadi berarti semua informasi yang berkaitan dengan individu yang teridentifikasi atau dapat diidentifikasi. Undang-undang privasi mencakup data apa pun yang secara langsung ditautkan atau secara tidak langsung dapat ditautkan kembali ke seseorang. Organisasi tunduk pada, dan harus beroperasi secara konsisten dengan, banyak hukum, peraturan, tata tertib, standar khusus industri, dan standar kepatuhan yang mengatur privasi data.

Semua organisasi mengelola data sehingga memahami terminologi dan konsep yang terkait dengan kepatuhan penting karena mereka bekerja untuk memenuhi hukum dan/atau peraturan minimum yang diamanatkan.