Поделиться через


Планирование соответствия нормативным требованиям

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2009-12-09

Microsoft Exchange Server 2010 разрабатывался таким образом, чтобы облегчить пользователям решение задач соответствия различным нормативным требованиям. В Exchange 2010 реализовано несколько возможностей, облегчающих сбор, защиту, хранение и открытие сообщений электронной почты в почтовом ящике пользователя по мере получения, пересылки или отправки этих сообщений за пределы организации.

В следующем списке содержится несколько примеров ситуаций, в которых возможности соответствия нормативным требованиям, реализованные в Exchange 2010, облегчают поддержание высокого уровня соответствия требованиям или реагирование на возможное изменение этих требований в будущем.

  • Политики сохранения данных. Множеству организаций нужно хранить данные в течение определенного периода времени, а затем удалять эти данные в целях сохранения конфиденциальности. Дополнительные сведения см. в разделе Общие сведения об управлении записями обмена сообщениями.
  • Требования к конфиденциальности. Ежедневно организации передают по электронной почте секретные и конфиденциальные сведения, принадлежащие как отдельным сотрудникам, так и организации в целом. Эти организации должны защищать личные данные отдельных сотрудников и сохранять конфиденциальность при обмене сведениями. Дополнительные сведения см. в разделе Общие сведения об управлении правами на доступ к данным.
  • Ограничения в соответствии с корпоративными стандартами. Организации, деятельность которых связана с ценными бумагами и другими финансовыми сведениями, зачастую должны запрещать обмен сведениями между определенными группами внутри организации. Дополнительные сведения см. в разделе Общие сведения об ограничениях в соответствии с корпоративными стандартами.
  • Запросы на предоставление сведений. Иногда организации участвуют в судебных процессах. В рамках такого процесса, стороны могут потребовать друг от друга предоставить определенные сведения. Поскольку большая часть делового общения происходит посредством электронной почты, для выполнения запросов на предоставление сведений необходима возможность поиска по контенту почтовых ящиков, включая сообщения электронной почты и вложения. Дополнительные сведения см. в разделе Общие сведения о поиске по нескольким почтовым ящикам.

Почему важно соответствие?

В каждой организации вопрос соответствия нормативным требованиям должен быть рассмотрен на высоком уровне. Очень часто организации должны предоставлять сведения по запросам судебных учреждений или предоставлять документацию в органы государственного регулирования для подтверждения соответствия нормативным требованиям.

Организации, рассмотревшие вопрос соответствия нормативным требованиям на стадии планирования собственной информационной инфраструктуры, смогут с меньшими затратами предоставлять по запросу необходимую информацию. Таким организациям также проще обеспечить соответствие другим нормативным требованиям.

Те же организации, которые заранее не учли необходимость соответствия нормативным требованиям, могут столкнуться с необходимостью сортировки миллионов сообщений электронной почты вручную, теряя время и деньги. Организации также могут нести юридическую ответственность за несоответствие требованиям законов или другим нормативным требованиям.

Даже в том случае, если организации никогда не участвовала в судебном разбирательстве и от нее не требовалось соответствие нормативным требованиям, велика вероятность того, что эта организация обрабатывает частные и конфиденциальные сведения, подпадающие под действие законов и нормативных актов определенной страны или региона. Таким образом, знание законов и нормативных актов, регулирующих работу организации, и принятие упреждающих действий, направленных на обеспечение соответствия данным законам, является чрезвычайно важным.

Список некоторых законов и нормативных требований, применимых к организации, см. в разделе Общие сведения о ведении журнала.

Рассмотрение вопроса соответствия нормативным требованиям в организации

Очень важно четко понимать требования и обязанности, применимые к организации. Если ранее вопрос соответствия нормативным требованиям в организации не обсуждался, развертывание сервера Exchange 2010 может стать катализатором данного обсуждения. В ходе обсуждения данного вопроса с руководством организации и юридическими представителями следует получить ответы на перечисленные ниже вопросы.

  • Обрабатывает ли организация данные клиентов?
  • Разработаны ли в организации политики защиты данных клиентов?
  • Передает ли организация конфиденциальные сведения по электронной почте?
  • Контролируется ли в организации доступ к просмотру конфиденциальных сведений и их получатели?
  • Разработаны ли в организации политики и процедуры ответов на запросы о предоставлении сведений, поступающие из судебных органов?
  • Существуют ли законы или нормативные требования, запрещающие обмен сведениями между определенными группами внутри организации?
  • Существуют ли законы или нормативные требования, согласно которым организация должна удалять данные по истечении определенного промежутка времени?

В этом списке представлены только некоторые вопросы, на которые необходимо получить ответ. Этот список не является окончательным. Он содержит примеры, которые призваны содействовать решению некоторых вопросов, применимых к организации. Организации может потребоваться рассмотрение дополнительных вопросов.

Если в организации уже разработана и применяется комплексная политика соответствия нормативным требованиям, следует обсудить с руководством и должностными лицами, отвечающими за соответствие нормативным требованиям, возможность использования сервера Exchange 2010 в качестве средства реализации соответствия нормативным требованиям.