คู่มือปฏิบัติในการกำกับดูแลข้อมูล

การปฏิบัติที่พิสูจน์แล้ว แนวคิดใหม่ ทั้งหมดในแหล่งข้อมูลเดียว

ทําไมต้องอ่านเอกสารนี้?

อย่างที่คุณทราบในตอนนี้ปริมาณข้อมูลยังคงเพิ่มขึ้นอย่างทวีคูณและกลายเป็นอุปกรณ์เคลื่อนที่มากขึ้น ทําให้งานในการปกป้องข้อมูล ยากยิ่ งขึ้นเมื่อมีความต้องการเพิ่มขึ้น องค์กรส่วนใหญ่ตระหนักได้อย่างรวดเร็วถึงความจําเป็นและคุณค่าของการจัดการข้อมูลอย่างมี ประสิทธิผลบนพื้นฐานองค์กร กิจกรรมแบบดั้งเดิม เช่น การจัดการบันทึก ไม่เพียงพอที่จะตอบสนองความต้องการของธุรกิจหรือ ข้อกําหนดทางกฎหมายและกฎระเบียบในปัจจุบันที่เพิ่มมากขึนและซับซ้อนมากขึ ้ ้น วิวัฒนาการของการกํากับดูแลการจัดการข้อมูล เป็นข้อกําหนดทางธุรกิจที่จําเป็นในการลดความเสี่ยง ลดต้นทุน และเพิ่มรายได้

ด้วยแรงกดดันที่เพิ่มขึนจากหน่วยงานกํากับดูแลระดับโลกหลายแห่ง ความต้องการโปรแกรมการกํากับดูแลข้อมูลจึงกําลังพัฒนา ้ จากสิ่ งที่ “น่ามี” เป็น “ต้องมี” นอกเหนือจากแรงกดดันด้านกฎระเบียบ ลูกค้า และผู้ถือหุ้นแล้ว ข้อกําหนดการค้นพบทางกฎหมาย ยังคงเป็นมาตรฐานมากขึ้น โดยศาลมีความอดทนน้อยลงต่อการไม่ปฏิบัติตามมาตรฐานที่กําหนดไว้และความคาดหวังที่สมเหตุสมผล ในเชิงพาณิชย์

นอกเหนือจากการปฏิบัติตามกฎระเบียบแล้ว แรงกดดันของตลาดสําหรับรายได้ที่เพิ่มขึ้นกําลังผลักดันความพยายามในการหาวิธีที่ สร้างสรรค์สําหรับองค์กรในการใช้ประโยชน์จากข้อมูลจํานวนมากที่พวกเขาเก็บไว้เพื่อเพิ่มส่วนแบ่งการตลาด ขับเคลื่อนรายได้ และรักษาความได้เปรียบในการแข่งขัน ปราศจากการกํากับดูแลข้อมูลองค์กรที่มีประสิทธิภาพ การริเริ่ มทางธุรกิจ เช่น การจัดการ ความสัมพันธ์กับลูกค้า การทํางานร่วมกันของผู้ปฏิบัติงานด้านความรู้ การเคลือนย้ายพนักงานและลูกค้า การทําเหมืองข้อมูล ่ บิ๊ กดาต้า การค้นหาระดับองค์กร การวิเคราะห์ข้อมูลและเนือหาไม่สามารถขยายหรือนําไปใช้ได้สําเร็จเพื ้ ่อความสําเร็จขององค์กร

ผู้อ่านบทความนี้จะพบคําแนะนําที่เป็นประโยชน์เกี่ยวกับวิธีจัดการข้อมูลทีเกี ่ ่ยวข้องกับความเสี่ยงและข้อกําหนดในการปฏิบัติตาม ข้อกําหนด ตลอดจนพัฒนาและดําเนินการปรับปรุงการจัดการข้อมูลและกระบวนการและแนวทางปฏิบัติในการกํากับดูแล

บทนํา

สมาชิกของคณะกรรมการที่ปรึกษาลูกค้าบริการทางการเงินของ Iron Mountain ได้จัดตั้งคณะกรรมการร่วมกับผู้เชี่ยวชาญเฉพาะทางของ Iron Mountain ในต้นปี 2556 เพื่อแบ่งปันแนวปฏิบัติที่ดีที่สุดเกี่ยวกับหัวข้อการกํากับดูแลข้อมูล เราเริ่ มต้นด้วยคําถามว่า วิธีที่ดีที่สุดในการสร้างและรักษาโปรแกรมการกํากับดูแล ข้อมูลสําหรับบริษัทของเราคืออะไร

จากการอภิปรายของเรา เราได้พิจารณาแล้วว่าในขณะที่แต่ละองค์กรกําหนดและกําหนดว่าการกํากับดูแลข้อมูลหมายถึงอะไรเพื่อตอบสนองความต้องการและ วัฒนธรรมของแต่ละคน แต่ก็มีองค์ประกอบบางอย่างที่เป็นสากล สิ่ งนีกระตุ้นให้คณะกรรมการจัดทําแนวทางปฏิบัติโดยมีวัตถุประสงค์เพื ้ ่อสร้างภาษากลางและ โครงร่างขององค์ประกอบที่สําคัญที่สุดและแนวปฏิบัติที่ดีที่สุดขององค์กร

วิธีการ

ในปีที่ผ่านมา คณะกรรมการได้พบปะหารือและพัฒนาแนวทางการทํางานด้านบรรษัทภิบาลสารสนเทศ เป็นความตั้งใจของคณะกรรมการที่จะแบ่งปันงานของตน กับผู้เชี่ยวชาญด้านการจัดการข้อมูลและบันทึกในทุกอุตสาหกรรมเพื่อใช้เป็นการยกระดับในขณะทีพวกเขายังคงสร้างและปรับแต่งโปรแกรมการ ่ กํากับดูแลข้อมูล ที่มีประสิทธิภาพ คู่มือประกอบด้วยหัวข้อต่อไปนี้:

• คําจํากัดความของการกํากับดูแลข้อมูล
• หลักการกํากับดูแลข้อมูล
• รูปแบบการกํากับดูแลข้อมูล
• บทบาทและความรับผิดชอบของสภาบรรษัทภิบาลข้อมูล
• คุณค่าของการกํากับดูแลข้อมูล
• แนวทางปฏิบัติที่ดีที่สุดขององค์กร

คณะกรรมการกํากับดูแลข้อมูลและ Iron Mountain (The Information Governance Committee and Iron Mountain) ยินดีที่จะจัดทําคู่มือนีให้กับชุมชนการจัดการบันทึกและการจัดการข้อมูลสําหรับการพัฒนาและรักษาโปรแกรมการกํากับดูแลข้อมูลที่เป็นประโยชน์ นีไม่ใช่กรอบการกํากับดูแลข้อมู ่ ลขั้นสุดท้ายที่เด็ดขาด แต่เป็นขั้นตอนแรกในการเดินทางเพื่อพัฒนาความชัดเจนและคําแนะนําเกี่ยวกับวิธีการเข้าถึงการกํากับดูแลข้อมูลในบริบทของอุตสาหกรรมเฉพาะของคุณ เราหวังว่า คุณจะไม่นําคู่มือนี้ไปใช้โดยสมบูรณ์ แต่ใช้หัวข้อเพื่อเริ่ มการเจรจาภายในและรับฝ่ายบริหารข้ามสายงานที่จําเป็นในการสนับสนุนแพลตฟอร์มการกํากับดูแลข้อมูลแบบ องค์รวม

คําจํากัดความการกํากับดูแลข้อมูล

การกํากับดูแลข้อมูลเป็นเฟรมเวิร์กความรับผิดชอบขององค์กร แบบสหสาขาวิชาชีพที่รับรองพฤติกรรมที่เหมาะสมในการประเมินข้อมูล และคําจํากัดความของบทบาท นโยบาย กระบวนการ และตัวชีวัดที ้ ่จําเป็น ในการจัดการวงจรชีวิตของข้อมูล รวมถึงการจัดการที่สามารถป้องกันได้

บ่อยครั้งที่เราเห็นคําว่า “การกํากับดูแลข้อมูล” และ “การบันทึกและ การจัดการข้อมูล” มีความหมายเหมือนกัน แม้ว่าฟังก์ชันการจัดการ บันทึกและสารสนเทศจะเป็นส่วนหนึ่งของการกํากับดูแลข้อมูล แต่องค์ประกอบที่สําคัญอื่นๆ จําเป็นต้องได้รับการพิจารณา อย่างเท่าเทียมกัน

ไดอะแกรมที่เกี่ยวข้องแสดงเนื้อหาประเภทต่างๆ และที่เก็บข้อมูล ซึ่งดูแลโดยกิจกรรมของการกํากับดูแลข้อมูล

หลักการกํากับดูแลข้อมูล

ไม่เป็นความลับที่ความคิดริเริ่ มทีขับเคลื ่ ่อนประสิทธิภาพการดําเนินงานทีเพิ ่ ่มขึ้นและให้ความยืดหยุ่นในการรองรับกฎระเบียบที่เปลี่ยนแปลงนั้นเป็นที่นิยมอย่างมาก ในองค์กรในปัจจุบัน การจัดตั้งโปรแกรมการกํากับดูแลข้อมูลที่แข็งแกร่งจะช่วยให้สามารถทําเช่นนั้นได้ ขั้นตอนแรกที่สําคัญคือการกําหนดชุดของหลักการสําคัญ ที่จะแทรกซึมเข้าไปในโปรแกรมและกระบวนการกํากับดูแลข้อมูลของคุณ สิ่ งเหล่านีควรรวมถึงองค์ประกอบเช่น:

• ให้ความรู้ พนักงานทุกคนเกี่ยวกับหน้าที่และความรับผิดชอบในการกํากับดูแลข้อมูล
• ยืนยัน tความถูกต้องและความสมบูรณ์ของข้อมูล
• ตระหนักรู้ ว่าบันทึกอย่างเป็นทางการเป็นแบบอิเล็กทรอนิกส์ (เว้นแต่จะระบุไว้เป็นอย่างอื่น)
• เก็บรักษา ข้อมูลในระบบที่ได้รับการอนุมัติจากองค์กรหรือทีเก็บบันทึกข้อมูล
• จําแนก ข้อมูลภายใต้รหัสบันทึกที่ถูกต้อง
• ควบคุมการแพร่กระจายข้อมูลที่ไม่จําเป็น
• ทําลาย ของข้อมูลเมื่อถึงจุดสิ้นสุดของประโยชน์ทางกฎหมายและการดําเนินงาน
• รักษา ข้อมูลทีเป็นความลับของลูกค้าและองค์กร/ระบุตัวบุคคล
• ปฏิบัติตาม พร้อมหมายเรียก การตรวจสอบ และคําขอค้นหาข้อมูล
• จัดตําแหน่ง ระบบธุรกิจและการใช้งานทุกสายงานตามมาตรฐานการกํากับดูแลข้อมูล
• ทําให้แน่ใจ ว่าบุคคลทีสามที ่ ่เก็บข้อมูลของลูกค้าหรือองค์กรนั้นปฏิบัติตามมาตรฐานการกํากับดูแลข้อมูลองค์กรขององค์กรของคุณ

รูปแบบการกํากับดูแลข้อมูล

เรารู้ว่าไม่มีองค์กรสองแห่งที่เหมือนกัน ดังนั้นแทนที่จะใช้โครงสร้างพื้นฐาน ของโปรแกรมการกํากับดูแลข้อมูล “แนวปฏิบัติที่ดีทีสุด” เพียงอย่างเดียว ่ เราได้ระบุสูตรและส่วนผสมในเอกสารนี้ที่สามารถรับรองสถาบันที่ ประสบความสําเร็จได้ วิธีทีองค์กรของคุณรวมส่วนผสมนั ่ ้นขึ้นอยู่กับ วัฒนธรรม สถานะของวุฒิภาวะ โปรไฟล์ความเสี่ยง แนวทางการทํางาน ในปัจจุบัน ระดับการสนับสนุน และอืนๆ อีกมากมาย เราขอแนะนําให้คุณ ่ สร้างโครงสร้าง “ในอุดมคติ” ของคุณเองที่เหมาะกับสถานการณ์ของคุณ ในวันนี้ และช่วยคุณวางแผนสําหรับอนาคต

มีข้อกําหนดทั่วไปและสําคัญประการหนึ่งในการสร้างและความยั่งยืนของ โปรแกรมการกํากับดูแลข้อมูล: การสนับสนุนของผู้บริหาร โดยเฉพาะผู้ที่ อยู่ภายในหรือใกล้เคียงกับ “C Suite” เช่น CIO หรือที่ปรึกษาทัวไป ่ การรับรองโครงการของพวกเขาทําให้ระดับของความจริงจัง ความคาดหวัง และความรับผิดชอบที่จะหลั่งไหลผ่านองค์กร หากไม่มีการสนับสนุนดังกล่าว องค์ประกอบที่จําเป็นบางอย่างของโปรแกรมการกํากับดูแลข้อมูลอาจ ถูกมองข้ามหรือประเมินค่าตํ่ าเกินไป

ข้อมูลกํากับดูแลการกํากับดูแลข้อมูล

เพื่อให้การกํากับดูแลข้อมูลกลายเป็นสถาบันในองค์กร จําเป็นต้องมีคําแนะนํา และการกํากับดูแลโดยสภากํากับดูแลข้อมูลข้ามสายงาน (สภา) ระดับอาวุโส ที่ประชุมเป็นประจําอย่างน้อยทุกไตรมาส เพื่อให้เกิดประสิทธิภาพสูงสุด สภาไม่ควรเกิน 10 คน ที่เลือกแล้ว สมาชิกควรจะสามารถเป็นตัวแทนของ หน้าที่ที่เติมเต็มโดยบทบาทต่อไปนีซึ ้ ่งบางส่วนอาจไม่อยู่ในองค์กรของคุณ เพื่อรักษาขนาดของสภาให้มีสมาชิก 10 คน สมาชิกบางคนอาจต้องสามารถ เป็นตัวแทนของบทบาทอื่นได้ ตัวอย่างเช่น สมาชิกทางกฎหมายของคุณอาจ สามารถพูดแทนเจ้าหน้าที่ดําเนินคดีและเจ้าหน้าที่ปฏิบัติตามกฎระเบียบได้

• สปอนเซอร์ผู้บริหาร: CIO หรือ ผู้ได้รับมอบหมาย
• กฎหมาย (สํานักงานทีปรึกษาทั ่ วไป)
• หัวหน้าเจ้าหน้าที่ข้อมูล
• หัวหน้าเจ้าหน้าที่ข้อมูลสุขภาพ
• เจ้าหน้าทีสอบสวนหรือดําเนินคดี
• การบริหารความเสี่ยง
• เจ้าหน้าที่กํากับดูแลการปฏิบัติตามกฎระเบียบ
• (ทั่วโลก) ผู้จัดการบันทึกและข้อมูล
• หัวหน้าเจ้าหน้าทีความเป็นส่วนตัวของข้อมูล
• ผู้นําด้านความปลอดภัยเทคโนโลยีสารสนเทศ
• ผู้นําด้านโครงสร้างพื้นฐาน/สถาปัตยกรรมสารสนเทศ
• สายสําคัญของธุรกิจ/ผู้นําหน่วยธุรกิจ
• ผู้นําระหว่างประเทศ (ระดับภูมิภาค)

สภามีหน้าที่รับผิดชอบในการอนุมัติกลยุทธ์การกํากับดูแลข้อมูลทั่วทั้งองค์กร พัฒนาขั้นตอนการปฏิบัติงานสําหรับสภา ให้คําแนะนําเกี่ยวกับเทคโนโลยีและ มาตรฐาน ช่วยเหลือในการรักษาความปลอดภัยของเงินทุน และสนับสนุนมูลค่า ทางธุรกิจของการกํากับดูแลข้อมูลที่ C-Suite และคณะกรรมการ ระดับของ องค์กร

เป็นสิ่ งสําคัญที่จะต้องพิจารณาวัฒนธรรมองค์กรของคุณเพื่อสร้างสมดุล ที่ถูกต้องในการเป็นสมาชิกสภา การมีส่วนร่วม และความร่วมมือ แม้ว่าผู้นํา ที่อาวุโสที่สุดของคุณต้องการการสนับสนุนจากช่วงความรับผิดชอบ พวกเขาอาจไม่สามารถจัดการได้โดยตรงภาระผูกพันทั้งหมดของสภา นอกจากนี อาจเป็นการดีที ้ ่สุดที่จะสร้างคณะอนุกรรมการหรือคณะทํางานอื่นๆ ที่รายงานต่อสภาเพื่อรับผิดชอบหัวข้อหรือสายธุรกิจเฉพาะ จากการวิจัย ของเขา Alan Weintraub นักวิเคราะห์หลักของ Forrester ได้พบว่า การรวมศูนย์ของสภาอาจเป็นอุปสรรคต่อความสามารถของสายธุรกิจ ในการตัดสินใจด้านการกํากับดูแลของตนเอง เขาเตือนว่าตัวแทนด้านไอทีอาจ “พยายามควบคุมกระบวนการกํากับดูแลข้อมูลมากเกินไป ซึ่งสามารถกีดกัน สมาชิกจากฝั่งธุรกิจจากการให้ข้อมูลหรือมีส่วนร่วมในความพยายามใน การกํากับดูแลอย่างแข็งขัน” นอกจากนี้ เขายังตั้งข้อสังเกตว่าในองค์กร ขนาดใหญ่ อาจมีสภามากกว่าหนึ่งสภาเพื่อเติมเต็มแง่มุมที่แตกต่างกัน ของการกํากับดูแลข้อมูล เช่น กลยุทธ์ และประจําวัน การกํากับดูแล การปฏิบัติงาน

(TechTarget.com Beth Stackpole 27 กรกฎาคม 2554)

แนวคิดของโครงสร้างความเป็นผู้นําการกํากับดูแลข้อมูลแบบหลายชั้น มีความเกี่ยวข้องโดยเฉพาะอย่างยิ่ งสําหรับอุตสาหกรรมที่มีสายธุรกิจที่ หลากหลายและหลากหลายที่ตั้งอยู่ในพื้นที่ทางภูมิศาสตร์ทีซับซ้อน ผู้อุปถัมภ์ ่ ผู้บริหารหรือสภาระดับอาวุโสจะเป็นผู้กําหนดความจําเป็นและองค์ประกอบของ สภาเฉพาะเรื่องและ/หรือภูมิภาค นอกจากนี้ สภาอาจมอบหมายข้ามสายงาน

คณะทํางานรวมตัวกันเพื่อกล่าวถึงหัวข้อเฉพาะ เช่น การสร้างมาตรฐานสําหรับ การประเมินตนเองของสายงานธุรกิจ ไม่ว่าในกรณีใด ระดับต่างๆ ของสภาหรือ คณะทํางานจะต้องได้รับการจัดระเบียบในลักษณะที่รวมกันและรับผิดชอบต่อ เจ้าของขั้นสุดท้ายของโครงการการกํากับดูแลข้อมูล

หน้าทีและบทบาทโดยทั่วไปของการกํากับดูแลข้อมูล ่

โมเดลการกํากับดูแลข้อมูล (ดูแผนภาพด้านบน) แสดงถึงขอบเขตการทํางาน ที่รับผิดชอบโดยตรงสําหรับการกํากับดูแลข้อมูลทัวทั ่ ้งองค์กร แบบจําลองให้ นํ้ าหนักการมีส่วนร่วมขององค์ประกอบการทํางาน: ธุรกิจและไอทีมีบทบาทที่ ใหญ่กว่า ซับซ้อนกว่า กฎหมายและ RIM น้อยกว่าเล็กน้อย และความเป็น ส่วนตัวของข้อมูลและความปลอดภัยของข้อมูลมีองค์ประกอบที่เล็กทีสุด่ ร่วมกัน เนื่องจากพวกเขาให้ความสําคัญกับหน้าที่ของตนเป็นพิเศษ นี่ไม่ใช่เพื่อ ลดความสําคัญที่ความเป็นส่วนตัวและความปลอดภัยของข้อมูลมีในรูปแบบ การกํากับดูแลข้อมูล ที่จริงแล้ว ในอุตสาหกรรมบางประเภท เช่น บริการ ทางการเงินพื้นที่ความเป็นส่วนตัวและความปลอดภัยจะมีบทบาทมากขึ้น เนื่องจากมีข้อบังคับมากมายในการปกป้องธรรมชาติที่ละเอียดอ่อน และเป็นความลับของข้อมูลทีสร้างและรับในการดําเนินธุรกิจ ่

ต่อไปนี้เป็นคําอธิบายระดับสูงของความรับผิดชอบในการกํากับดูแลข้อมูล โดยทั่วไปซึ่งกําหนดให้กับหน้าที่หลักในรูปแบบอ้างอิงการกํากับดูแลข้อมูล ในบางกรณี ฟังก์ชันอาจเป็นรวมกันภายในองค์กร ตัวอย่างเช่น ฝ่ายกฎหมายมักเป็นหน่วยงานด้านการปฏิบัติตามและการค้นพบ แทนที่จะเป็นกลุ่มที่แยกจากกันภายในองค์กร

ถูกกฎหมาย

หน่วยงานด้านกฎหมายมีหน้าทีกําหนดโปรไฟล์ความเสี ่ ่ยงขององค์กร โดยพิจารณาจากการเปิดเผยข้อมูลในการดําเนินคดี ข้อกําหนดด้าน ความเป็นส่วนตัวระหว่างประเทศ การคุ้มครองทรัพย์สินทางปัญญา สภาพแวดล้อมในการทํางาน และอื่นๆ พวกเขาควรมีส่วนร่วมอย่างใกล้ชิด ในการพัฒนาและการอนุมัติกําหนดการเก็บรักษาบันทึกขององค์กรและนโยบาย RIM การกําหนดประเภทความเป็นส่วนตัว (ความลับและสาธารณะ); กฎสําหรับ การจัดการอีเมล โซเชียลมีเดีย อุปกรณ์มือถือ และอุปกรณ์อิเล็กทรอนิกส์หรือ เครือข่ายอืนๆ การสื ่ ่อสารการเปลี่ยนแปลงใดๆ กับองค์กรผ่านการควบรวม กิจการ การเข้าซื้อกิจการ และการขายกิจการ การอนุมัติสําหรับการจัดการที่ สามารถป้องกันได้; การสือสารกับ ่ RIM และทีมไอทีที่เกี่ยวข้องกับการ เปลี่ยนแปลงกฎและข้อบังคับใหม่ และความร่วมมือกับผู้มีส่วนได้ส่วนเสียหลัก ในการกํากับดูแลข้อมูล

การค้นพบ

ฟังก์ชัน Discovery มีหน้าที่ในการสือสาร คําสั ่ ่งสอน และการประสานงานกับ หน่วยธุรกิจและ/หรือบุคคลที่เกี่ยวข้องกับข้อมูลที่ต้องอยู่ เก็บรักษา และผลิต เพื่อให้เป็นไปตามข้อกําหนดในการดําเนินคดีพวกเขาอาจมีหน้าที่รับผิดชอบ ในการจัดการคําขอ Freedom of Information Act ในประเทศต่างๆ เช่น สหราชอาณาจักร ฟังก์ชันนีควรอัปเดตผู้ดูแลที ้ ่ได้รับมอบหมายเป็นประจํา (โดยทั่วไปคือเจ้าของธุรกิจและไอที) เกี่ยวกับสถานะของ “การระงับ” ของข้อมูล รวมถึงเวลาที่ข้อมูลสามารถเผยแพร่สําหรับการจัดการวงจรชีวิตตามปกติ แจ้งทีม RIM และ IT เมื่อมีการเปลี่ยนแปลงข้อกําหนดการค้นพบ และกําหนด กระบวนการทีทําซํ ่ ้ าได้พร้อมแนวทางที่เกี่ยวข้องในการจัดการสเปกตรัมของ การดําเนินคดีแบบง่ายผ่านการดําเนินคดีที่ซับซ้อน

ความเสี่ยง

หน้าที่ความเสี่ยงมีหน้าที่รับผิดชอบในการปกป้องตราสินค้า การเงิน และการดําเนินงานขององค์กรโดยการจัดการและบรรเทาความเสี่ยง สิ่ งนี้ต้องการความเข้าใจอย่างถ่องแท้เกี่ยวกับโปรไฟล์ความเสี่ยง ขององค์กร (การดําเนินคดี การสอบสวน ข้อกําหนดด้านกฎระเบียบ การปกป้องข้อมูลส่วนตัว และการปกป้องทรัพย์สินทางปัญญา) พวกเขาควรเกี่ยวข้องกับกฎหมายในการสร้างนโยบาย “การใช้งานที่ ยอมรับได้” และกับ IT เพื่อพัฒนาการกู้คืนจากความเสียหายที่ยอมรับ ได้และกระบวนการต่อเนืองทางธุรกิจ การเลือกผู้ให้บริการ ่ SaaS/ คลาวด์ ให้ความรู้แก่พนักงานอย่างต่อเนื่องเกี่ยวกับการป้องกัน ความเสี่ยงที่เกี่ยวข้องกิจกรรม; ให้ข้อมูลกับตัวบ่งชี้ความเสี่ยงที่ สําคัญ ดําเนินการประเมินความเสี่ยงเป็นระยะ และทํางานอย่างใกล้ชิด กับ RIM, Legal และ IT เพื่อทําลายข้อมูลที่ไม่จําเป็นอีกต่อไป

การปฏิบัติตามกฎระเบียบ

หน่วยงานกํากับดูแลมีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่าองค์กร รับทราบและปฏิบัติตามข้อกําหนดของกฎระเบียบและข้อบังคับทีกําหนด ่ โดยหน่วยงานต่างๆ (รัฐบาลกลาง รัฐ/จังหวัด และส่วนท้องถิ่ น หน่วยงาน กํากับดูแล หน่วยงานด้านความเป็นส่วนตัวของข้อมูล และกลุ่มอุตสาหกรรม) พวกเขาควรมีส่วนร่วมในการกําหนดตัวชี้วัดและการควบคุมภายใน การจัดตัง้ โปรแกรมการตรวจสอบทัวทั ่ ้งองค์กร และการตอบสนองต่อและจัดการ คําขอจากหน่วยงานกํากับดูแล ผู้ตรวจสอบ ผู้ตรวจสอบ ลูกค้า และ บุคคลภายนอกอื่นๆ

การจัดการบันทึกและข้อมูล

ฟังก์ชันการจัดการบันทึกและข้อมูล (RIM) มีหน้าที่รับผิดชอบในการพัฒนา และเผยแพร่นโยบายโปรแกรม RIM สําหรับกระดาษและบันทึกอิเล็กทรอนิกส์ รวมถึงการให้การสนับสนุนการใช้งานผ่านการฝึกอบรมและการสื่อสาร อย่างต่อเนื่อง กําหนดและการรวบรวมตัวชี้วัดเพื่อกําหนดการปฏิบัติตาม การควบคุมต้นทุนผ่านการรับรู้วงจรข้อมูลและตัวเลือกการจัดเก็บ และการดําเนินการทําลาย การมีส่วนร่วมในโครงการไอทีเพื่อทบทวนและ ใช้งานซอฟต์แวร์ การจัดตั้งระบบสนับสนุนสายธุรกิจรวมเครือข่าย ผู้ประสานงานบันทึก ติดตามแนวโน้มใน RIM (คลาวด์ บิกดาต้า และ ๊ BYOD) และการสือสาร/ความร่วมมือกับผู้มีส่วนได้ส่วนเสียหลักในการกําหนดนโยบาย/ ่ แนวทาง

เมื่อการกํากับดูแลตนเองระดับธุรกิจกลายเป็นสถาบัน แผนก RIM จะต้องสร้าง สภาพแวดล้อม “การบริการตนเอง” ซึ่งธุรกิจสามารถ “ดึง” ข้อมูลที่จําเป็น เพื่อให้เป็นไปตามข้อกําหนดการกํากับดูแลข้อมูลของ RIM

การกํากับดูแลข้อมูลจะมีความจําเป็นต่อวิวัฒนาการของฟังก์ชันนี้ จากการให้ คําแนะนําที่เน้นระเบียนเป็นศูนย์กลาง ไปจนถึงการรวมข้อมูลทั้งหมด — บันทึก หรือไม่ ทั้งทางกายภาพหรือทางอิเล็กทรอนิกส์

สํานักงานข้อมูลหรือการจัดการข้อมูล

เป้าหมายของหน้าที่ของ Chief Data Office และโดยเฉพาะบทบาทของ Chief Data Officer (Chief Health Information Officer in the Healthcare Industry) คือการช่วยเหลือธุรกิจและหน้าที่อื่นๆ เพื่อให้มั่นใจว่าแนวทางการ พัฒนาและการใช้องค์กรมีความสอดคล้องและควบคุมได้ สินทรัพย์ข้อมูลและ องค์ประกอบข้อมูลที่สําคัญทั่วองค์กร

Chief Data Office มีหน้าที่ในการแนะนําการจัดตั้งกระบวนการและ ระบบที่เพียงพอ เพื่อสร้าง รักษา และแบ่งปันข้อมูลตามมาตรฐาน ข้อมูลขององค์กรและระเบียบ/กฎหมายภายนอก เป็นผู้มีอํานาจ ปกครอง พร้อมด้วยสมาชิก Enterprise Data Governance Council ที่ใช้กรอบการควบคุมที่สนับสนุนการจัดการข้อมูลอย่างมี ประสิทธิภาพและประสิทธิผล

หัวหน้าสํานักงานข้อมูลร่วมมือกับเจ้าหน้าที่กํากับดูแลข้อมูลที่ได้รับ มอบหมายให้ทําหน้าที่และธุรกิจทัวทั ่ ้งองค์กร พวกเขาดําเนินการ ประเมินการจัดการข้อมูล/การจัดการข้อมูลผ่านเครื่องมือต่างๆ เช่น Data Maturity Model แพลตฟอร์มคุณภาพข้อมูล และแผนการดําเนินการ Data Standards

เทคโนโลยีสารสนเทศ

ฟังก์ชันเทคโนโลยีสารสนเทศ (IT) เป็นพื้นฐานของความสําเร็จของ การกํากับดูแลข้อมูล แม้ว่าตามธรรมเนียมแล้ว ฟังก์ชันนี้จะเน้นไปที่เทคโนโลยี และโครงสร้างพื้นฐาน แต่ก็มีการปรับเปลี่ยนเพื่อให้สอดคล้องกับธุรกิจและ วัตถุประสงค์ ด้วยเหตุนี้ เป้าหมายการกํากับดูแลข้อมูลของไอทีคือการเพิ่ม ความสามารถในการจัดการปริมาณข้อมูลที่สร้างและรับจํานวนมากได้ อย่างมีประสิทธิภาพ และเพื่อขจัดค่าใช้จ่ายโดยเฉพาะในส่วนทีซํ ่ ้ าซ้อน เทคโนโลยีและการจัดเก็บ พวกเขาจําเป็นต้องเป็นผู้นําในการปกป้องและรับรอง ความถูกต้องของข้อมูลอย่างเหมาะสม รวมถึงความพร้อมในการใช้งาน การเก็บรักษา และการจัดการ บทบาทนี้ยังต้องการความร่วมมือกับ RIM, Risk และ Compliance เพื่อกําหนดแผนการกู้คืนความเสียหายและความต่อเนื่อง ทางธุรกิจที่เหมาะสม

ฟังก์ชันไอทีต้องทํางานร่วมกับบทบาทการกํากับดูแลข้อมูลอื่นๆ ทั้งหมด เพื่อทําความเข้าใจข้อกําหนดของแต่ละฝ่ายในการเลือกและปรับใช้เทคโนโลยี

ความเป็นส่วนตัวของข้อมูล

ฟังก์ชันความเป็นส่วนตัวของข้อมูลมีหน้าที่รับผิดชอบในการจัดการ ความเสี่ยงและผลกระทบทางธุรกิจของกฎหมายและนโยบาย ความเป็นส่วนตัวและการตอบสนองต่อข้อกังวลด้านกฎระเบียบและ ผู้บริโภคเกี่ยวกับการใช้ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้ รวมถึงข้อมูลทางการแพทย์และข้อมูลทางการเงิน และกฎหมายและ ข้อบังคับสําหรับการใช้และการปกป้องข้อมูล บทบาทนี้เกี่ยวข้องกับ การเลือกและการนําเทคโนโลยีไปใช้ ตลอดจนรับทราบข้อมูลกฎหมาย ความเป็นส่วนตัวระหว่างประเทศและผลกระทบที่มีต่อการจัดการบันทึก

ความปลอดภัยของข้อมูล

ฟังก์ชันการรักษาความปลอดภัยของข้อมูลมีหน้าที่รับผิดชอบในการพัฒนา การนําไปใช้ และการจัดการวิสัยทัศน์ กลยุทธ์ นโยบาย และโปรแกรม การรักษาความปลอดภัยขององค์กร พวกเขามีหน้าที่รับผิดชอบในการสร้าง นโยบาย การเลือกและการนําเทคโนโลยีไปปฏิบัติ การตรวจสอบและ แจ้งฝ่ายต่างๆ เกี่ยวกับมัลแวร์ การละเมิด การแฮ็ก ฯลฯ นโยบายและ ขั้นตอนการสื่อสารอย่างเป็นทางการต่อธุรกิจ เปิดใช้งานมาตรฐาน ความปลอดภัยทีกําหนดโดยลูกค้า เช่น รัฐบาล แจ้งฝ่ายที ่ ่จําเป็นเมือมี ่ ปัญหาการละเมิดการออกรหัสการจัดประเภทข้อมูล (ร่วมกับกฎหมาย); และเป็นไปตามมาตรฐาน ISO และหน่วยงานกํากับดูแลอื่นๆ ตามความจําเป็น

สถาปัตยกรรมสารสนเทศ

ฟังก์ชัน Information Architecture มุ่งเน้นไปทีการจัดระบบข้อมูลและ ่ การพัฒนาฐานข้อมูลเพื่อรองรับความต้องการทางธุรกิจ รวมถึงการออกแบบ ระบบข้อมูลที่ใช้ร่วมกันที่ซับซ้อน การมีส่วนร่วมในการเลือกและการจัดการ บริการบนคลาวด์ รองรับการสร้างคลังข้อมูลสําหรับเนือหาอีเมลและโซเชียล ้ มีเดีย และสนับสนุนการสร้างเว็บไซต์และอินทราเน็ตไซต์ที่มีประสิทธิภาพ เพื่อรองรับ RIM

ธุรกิจ (การดําเนินงาน)

ธุรกิจ (สายงานธุรกิจ หน่วยธุรกิจ และ/หรือแผนก) มีหน้าที่รับผิดชอบ ในการปฏิบัติตามนโยบายการกํากับดูแลข้อมูล การจัดการข้อมูลตลอดวงจรชีวิต จะมีประสิทธิภาพสูงสุดเมื่อได้รับแอตทริบิวต์ แท็ก ดัชนี หรือข้อมูลเมตาที่จําเป็น สําหรับการปฏิบัติตามข้อกําหนดให้ใกล้เคียงกับการสร้างมากที่สุด ตัวอย่าง ของข้อมูลเมตาดังกล่าว ได้แก่ การทําเครื่องหมายข้อมูลชิ้ นหนึ่งว่าเป็นความลับ หรือมีข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ หรือว่าเป็นบันทึกทางธุรกิจ อย่างเป็นทางการที่เป็นของหมวดหมู่ข้อมูลเฉพาะ การร้องเรียนทัวไปของ ่ สายธุรกิจคือการจัดการบันทึก “ขัดขวาง” ในการทําธุรกิจ ด้วยเหตุนี้ ฝ่ายไอที และ RM ควรทํางานอย่างใกล้ชิดกับธุรกิจเพื่อกําหนดวิธีที่พวกเขาสามารถ ควบคุมข้อมูลของตนได้ดีที่สุดผ่านเทคโนโลยีและกระบวนการในลักษณะที่ รบกวนน้อยที่สุด

สายงานธุรกิจอยู่ในตําแหน่งที่ดีที่สุดในการกําหนด “มูลค่า” ของข้อมูลที่พวกเขา สร้าง รักษา หรือได้รับนอกเหนือจากการใช้ “อย่างเป็นทางการ” อาจใช้บันทึก บางประเภทเพื่อกําหนดแนวโน้มทางการตลาด และการติดตาม

ปัญหาในการควบคุมคุณภาพเมื่อเวลาผ่านไป ขยายโปรไฟล์ลูกค้า และระบุ “ผู้ไม่หวังดี” ในสภาพแวดล้อมที่มีการควบคุม เป็นอีกครั้งที่ RIM ควรทํางาน ร่วมกับธุรกิจต่างๆ เพื่อช่วยกําหนดข้อมูลที่มีค่าและวิธีจัดการข้อมูล อย่างปลอดภัยและเป็นไปตามข้อกําหนด

มีการเคลื่อนไหวที่เกิดขึ้นใหม่เพื่อให้หน่วยธุรกิจรับผิดชอบต่อการกํากับดูแล ตนเองสําหรับข้อกําหนดหรือความจําเป็นต่างๆ ขององค์กร รวมถึง RIM โดยเฉพาะอย่างยิ่ งในองค์กรขนาดใหญ่ที่กระจัดกระจายทางภูมิศาสตร์ที่มี สายธุรกิจที่หลากหลาย ความคาดหวังทางธุรกิจคือการ “ดึง” ข้อมูลที่จําเป็น ในการควบคุมตนเองจากแหล่งต่างๆ เช่น RIM และ กฎหมาย

ตัวแทนระหว่างประเทศ

เนื่องจากการกํากับดูแลข้อมูลควรครอบคลุมทั่วทั้งองค์กร จึงต้องมีการเป็น ตัวแทนทางภูมิศาสตร์ที่เหมาะสมในสภา ซึ่งส่วนใหญ่มักจะเป็นตัวแทนจาก ภูมิภาค (เช่น เอเชียแปซิฟิก EMEA และอเมริกาเหนือ) ที่สามารถพูดคุย เกี่ยวกับข้อกังวลของเขตอํานาจศาลต่างๆ ภายในภูมิภาค

คุณค่าของการกํากับดูแลข้อมูลองค์กร

คุณค่าของโปรแกรมการกํากับดูแลข้อมูลที่มีการจัดระเบียบและนําไปใช้อย่างสมํ่ าเสมอสามารถกําหนดได้หลายวิธีสําหรับผู้ชมที่หลากหลาย – สําหรับบางศูนย์คุณค่า ที่เกี่ยวกับต้นทุนและการลดความเสี่ยง - ในขณะทีสําหรับคนอื ่ ่นๆ คุณค่าจะถูกมองว่าเป็นการใช้ข้อมูลที่ดีขึ้น (เช่น ข้อมูลขนาดใหญ่) คําถามมูลค่าแตกต่างกันไป ไม่เฉพาะในองค์กรเท่านั้น แต่ยังอาจแตกต่างกันไปจากผู้บริหารถึงผู้บริหาร พื้นที่ธุรกิจไปยังพื้นที่ธุรกิจ หรือผู้ใช้กับผู้ใช้ ไม่ว่าผู้ชมจะเป็นใครก็ตามที่ได้รับการซื้อจาก องค์กรของคุณเพื่อสร้างและสนับสนุนความสําเร็จของโปรแกรมของคุณอย่างเต็มที่อาจเป็นสิ่ งที่ท้าทาย

คุณค่า ไม่ว่าจะเป็นประสิทธิภาพของข้อมูลที่แท้จริงหรือการวิเคราะห์ที่เชือถือได้มากขึ ่ ้น เป็นขั้นทีสามของบันไดสุภาษิตที ่ ่จําเป็นในการยืนหยัดในโปรแกรมการกํากับดูแล ข้อมูล การลดความเสี่ยงและต้นทุนมักจะอยู่ในระดับแนวหน้าของการนําเสนอคุณค่า อย่างไรก็ตาม ตามที่เราได้เรียนรู้เมื่อเวลาผ่านไป มูลค่าที่แท้จริงของโปรแกรมการ กํากับดูแลข้อมูลที่มีการจัดการเป็นอย่างดีไม่สามารถวัดได้อย่างง่ายดายโดยใช้แบบจําลอง ROI มาตรฐาน ความพยายามในช่วงแรกๆ ในการสร้างโปรแกรมการกํากับ ดูแลข้อมูลจะพบกับผลลัพธ์ที่หลากหลายเนื่องจากการประหยัดต้นทุนนั้นเกินจริง ในขณะที่โปรแกรมอาจแสดง “คุณค่า” ด้วยวิธีอื่นๆ แต่ไม่สามารถประหยัดต้นทุนตามที่ สัญญาไว้จึงทําให้เสียชื่อเสียง ในบางกรณี ประโยชน์ที่แท้จริงที่องค์กรของคุณจะได้รับคือการปกป้องและใช้ประโยชน์จากสินทรัพย์ข้อมูลให้ดีขึ้น หน้าทีอย่างหนึ ่ ่งของ สภาข้ามสายงานคือการกําหนดเป้าหมายที่ยอมรับได้สําหรับต้นทุนข้อมูล การลดความเสี่ยง และมูลค่าองค์กร

คุณค่าของสภาที่หลากหลาย

ดังที่กล่าวไว้ข้างต้นในส่วนฟังก์ชันและบทบาทแบบจําลองการกํากับดูแลข้อมูล โปรแกรมการกํากับดูแลข้อมูลที่แท้จริงเป็นมากกว่าโปรแกรมบันทึกและการจัดการข้อมูล และควรรวมทุกพื้นที่ในสถาบันของคุณที่มีการสร้างและจัดการข้อมูล บ่อยครั้งที่การกํากับดูแลข้อมูลถูกมองว่าเป็นการเริ่ มและหยุดด้วยฟังก์ชันการจัดการบันทึกและ กฎหมายและการปฏิบัติตามข้อกําหนด โดยการจํากัดรูปแบบการกํากับดูแลให้อยู่เฉพาะพื้นที่การทํางานเหล่านี้ มูลค่าโดยรวมของโปรแกรมการกํากับดูแลข้อมูลจะลดลง คุณค่าของโปรแกรมการกํากับดูแลข้อมูลที่มีประสิทธิภาพในท้ายที่สุดเกิดจากข้อเท็จจริงที่ว่ามีเนื้อหาทุกประเภท จากทุกด้านขององค์กร ขั้นตอนสําคัญคือการตระหนัก ว่าแต่ละพื้นทีมีส่วนสนับสนุนและโต้ตอบกับข้อมูลในรูปแบบต่างๆ ดังนั ่ ้นจึงวัดมูลค่าต่างกัน ด้านล่างนี้เป็นตัวอย่างหนึ่งของลักษณะธุรกิจที่แตกต่างกันที่อาจดูข้อมูล ประเภทเดียวกัน

ข้อมูลไม่ควรเก็บไว้ในไซโลการทํางาน เว้นแต่ว่านโยบายจะกําหนดเป็นอย่างอืน ่ การควบคุมข้อมูลของคุณไม่เพียงแต่มีประโยชน์ต่อผู้ที่จัดการวงจรชีวิตของ ข้อมูลเท่านั้น แต่ยังอาจสนับสนุนการริเริ่ มของหน่วยธุรกิจอื่นๆ ทั่วทั้งองค์กร โปรแกรมการกํากับดูแลข้อมูลที่แข็งแกร่งสามารถช่วยทําลายไซโลข้อมูลได้ ทีมข้ามสายงานสามารถใช้ประโยชน์จากข้อมูลที่พร้อมใช้งานอย่างสมํ่ าเสมอ เข้าถึงได้ และทีสําคัญที ่ สุดคือถูกต้องเพื ่ ่อสร้างมูลค่าที่เพิ่มขึ้น

ข้อมูลสามารถใช้ได้หลายวิธี ในการสนทนากับผู้จัดการข้อมูลอาวุโสของสถาบัน บริการทางการเงินชั้นนํา เราได้ยินเรื่องราวต่างๆ มากมาย ทั้งดีและไม่ดีเกี่ยวกับ วิธีการวางตําแหน่งโปรแกรมการกํากับดูแลข้อมูลเพื่อความสําเร็จ โปรแกรมที่ ประสบความสําเร็จมากที่สุดจะถูกจัดวางจากมุมมองด้านมูลค่า ซึ่งแสดงให้เห็นว่า ข้อมูลอาจแสดงถึงความเสี่ยงที่อาจเกิดขึ้นได้อย่างไร แต่ทีสําคั ่ ญกว่านั้นคือ สามารถใช้เป็นสินทรัพย์เชิงกลยุทธ์ในการสร้างมูลค่าได้อย่างไร โดยการ ตรวจสอบข้อมูลและการใช้งานที่เป็นไปได้ทั้งหมด คุณจะอยู่ในตําแหน่งที่ดีขึนใน ้ การตัดสินใจด้านการกํากับดูแลข้อมูลที่สอดคล้องกันทั่วทั้งสถาบันของคุณ

แนวปฏิบัติที่ดีที่สุดขององค์กร

การย้ายโครงการและแนวคิดจาก Information Governance Council ไปสู่การผลิตไม่ใช่เรื่องง่ายเสมอไป ส่วนนี้จะแนะนํากระบวนการในปัจจุบัน และที่เกิดขึ้นใหม่ซึ่งคัดมาจากทั้งความสําเร็จและความล้มเหลวในชีวิตจริง แนวคิดเรืองการกํากับดูแลข้อมูลไม่ใช่เรื ่ ่องใหม่ แต่ยังห่างไกลจาก กระบวนการทีสมบูรณ์แบบ แม้ว่าจะไม่ใช่รายการที ่ ่ครบถ้วนสมบูรณ์ แต่คําแนะนําและข้อมูลเชิงลึกต่อไปนี้ถูกนําเสนอเพื่อเปิดใช้งานหรืออํานวย ความสะดวกให้กับองค์ประกอบต่างๆ ของการกํากับดูแลข้อมูล

การสนับสนุนผู้บริหารที่ปลอดภัย

ตามที่แนะนําไว้ก่อนหน้านี สภาบรรษัทภิบาลข้อมูลเป็นการผสมผสานระหว่าง ้ หน้าที่ที่หลากหลาย ซึ่งนําข้อกําหนดด้านการทํางานที่แตกต่างกันมาสู่ กระบวนการ แนวทางปฏิบัติที่ดีที่สุดประการหนึ่งที่สําคัญทีสุดที ่ ่เราสามารถ แนะนําได้คือการแต่งตั้งผู้สนับสนุนระดับผู้บริหาร การขาดผู้สนับสนุนระดับ ผู้บริหารที่กําหนดไว้อย่างชัดเจนเป็นหนึ่งในสาเหตุหลักว่าทําไมความพยายาม ก่อนหน้านี้ในการจัดตั้งโปรแกรมการกํากับดูแลข้อมูลทีมีประสิทธิภาพจึงมัก ่ ไม่ประสบผลสําเร็จ

สําหรับบางองค์กร บทบาทใหม่ที่เพิ่งเกิดขึ้นของ Chief Data Officer มีหน้าที่รับผิดชอบในการจัดการวงจรข้อมูลตลอดจนการสนับสนุนของสภา บรรษัทภิบาลข้อมูล ตําแหน่งผู้บริหารระดับสูงนี้ให้ระดับการสนับสนุนที่จําเป็น เพื่อให้แน่ใจว่าบริษัทยังคงมุ่งเน้นและมุ่งมั่นไม่เพียงแต่ในการวิเคราะห์ข้อมูล หรือคลังข้อมูลเท่านั้น แต่ยังรวมถึงกระบวนการที่จัดการและจัดเก็บข้อมูล ประเภทต่างๆ (RIM, คลาวด์, อีเมล, การจัดการแอป ข้อมูลขนาดใหญ่และ โซเชียลมีเดีย)

การคัดเลือกสมาชิกสภาต้องได้รับการพิจารณาเป็นพิเศษ องค์ประกอบ ควรประกอบด้วยสมาชิกของแผนกต่างๆ และสายงานต่างๆ แต่ไม่ใช่ ผู้บริหารระดับสูงส่วนใหญ่ ความพยายามในการดําเนินการตามโปรแกรม การกํากับดูแลข้อมูลก่อนหน้านี้หยุดชะงักหรือล้มเหลว อันเป็นผลมาจาก การมีผู้บริหารระดับสูงที่ไม่มีข้อมูลสายธุรกิจนั่งอยู่ในสภา การหมุนเวียน สมาชิกสภาเป็นระยะๆ อาจสมเหตุสมผล เช่น ทุกๆ 18 – 24 เดือน เพื่อรักษาผลประโยชน์