阐述治理、风险和合规性 (GRC) 概念

  • 4 分钟

组织面临日益复杂和不断变化的法规环境,要求采用更结构化的方法来管理治理、风险和合规性 (GRC)。

Diagram showing a GRC framework.

组织在建立 GRC 能力时,可以建立一个框架,其中包括实施特定策略、操作流程和技术。 用于管理 GRC 的结构化方法可帮助组织降低风险并提高合规性效率。

建立 GRC 能力的重要先决条件是了解关键条款。

调控

治理是组织用来指导和控制其活动的规则、做法和流程系统。 许多治理活动源于外部标准、义务和期望。 例如,组织制定规则和流程,规定哪些用户和应用程序在何时在何处可以访问公司资源,以及谁可以拥有管理权限以及该权限的期限。

风险

风险管理是识别、评估和响应可能影响公司或客户目标的威胁或事件的过程。 组织面临来自外部和内部的风险。 外部风险可能来自政治和经济力量、天气相关事件、疾病疫情和安全漏洞,等等。 内部风险是来自组织内部的风险。 示例包括敏感数据泄露、知识产权盗窃、欺诈和内幕交易。

合规性

合规性是指组织必须遵循的国家/地区、州或联邦法律,甚至是跨国法规。 这些法规规定了哪些类型的数据必须获得保护、哪些流程依法是必需的流程,以及对不符合规定的组织应给出哪些处罚。

请务必注意,合规性与安全性不同。 但是,在构建合规性计划时应考虑安全性,因为有效的安全性通常是一项合规性要求。 合规性仅要求满足法定的最低标准,而数据安全性则涵盖规定如何处理敏感数据并防范违规的所有流程、过程和技术。

一些与合规性相关的概念包括:

  • 数据驻留 - 就合规性而言,数据驻留法规规定了存储数据的物理位置,以及在国际上传输、处理或访问数据的方式和时间。 根据管辖范围,这些法规可能会大相径庭。
  • 数据主权 - 另一个重要的考虑因素是数据主权,即数据(尤其是个人数据)受实际收集、持有或处理数据的国家/地区的法律和法规的约束。 就合规性而言,这可能会增加一层复杂性,因为相同的数据可以在一个位置进行收集,在另一个位置进行存储,然后在另一个位置进行处理;使其受不同国家/地区的法律的约束。
  • 数据隐私 - 就个人数据的收集、处理、使用和共享提供通知并保持透明是隐私法律和法规的基本原则。 个人数据是指与已识别或可识别的自然人相关的任何信息。 隐私法涵盖任何与个人直接或间接相关的数据。 组织受制于且必须遵守众多法律、法规、行为准则、行业特定标准以及管理数据隐私的合规性标准。

任何组织都需要管理数据,因此了解与合规性相关的术语和概念非常重要,这样有助于满足最低的法律和/或法规要求。