среда, 24 июня 2015 г.

28 положений наилучшей практики полномасштабного управления информацией, часть 2


(Продолжение, начало см. http://rusrim.blogspot.ru/2015/06/28-1.html )

11. План смягчения информационных рисков является ключевой частью процесса планирования управления информацией. План смягчения информационных рисков помогает при разработке вариантов и постановке задач по снижению конкретных рисков и повышению вероятности достижения деловых целей.

12. Требуются подходящие метрики для количественной оценки соответствия и эффективности Вашей программы управления информацией. Вам необходим объективный метод оценки положения дел, что означает цифры и метрики. Очень важно выбрать несколько осмысленных количественных мер ещё до развёртывания программы управления информацией.

13. Необходимо проводить аудит эффективности программ управления информацией. Периодические проверки покажут Вам, каково положение дел в Вашей организации и где следует уточнить свои действия. Чтобы сохранить здоровье, актуальность и эффективность программы управления информацией, нужно будет постоянно вносить изменения и доработки.

14. Высшее руководство должно задать тон и обеспечить лидерство в плане поддержки программы управления важнейшими документами и исполнения её требований. К важнейшим относятся ключевые деловые документы, необходимые Вашей организации для продолжения деятельности. Хотя электронные документы легче защищать и резервировать, они также создают и специфические проблемы. Сейчас большинство важнейших документов являются электронными, и должны быть предприняты специальные меры для их защиты и сохранения. Эти меры должны периодически тестироваться.

15. Прежде чем внедрять поддерживающие технологии, следует перепроектировать деловые процессы с целью улучшить и оптимизировать управление информацией и её безопасность, особенно в отношении электронных документов. Использование программного обеспечения для электронного управления документами (electronic records management, ERM), управления потоками работ (workflow) или управления бизнес-процессами (business process management, BPM), в корне меняет стиль работы. Пересмотр деловых процессов способен дать значительно большее повышение эффективности (по сравнению с использованием ERM-систем просто в качестве электронных шкафов для хранения дел и документов ради ускорения плохих процессов).

16. Как входящие, так и исходящие сообщения электронной почты должны автоматически архивироваться, и это должно делаться (предпочтительно) в реальном времени. Это позволяет избежать порчи доказательств (spoliation – т.е. потеря проверенной аутентичности электронной почты). Архивация в режиме реального времени позволяет сохранить юридическую значимость и обеспечить соответствие требованиям электронной судебной экспертизы (forensic compliance). Кроме того, желательно обеспечить сжатие сообщений электронной почты для экономии места и их индексирование для упрощения процесса поиска. Все сообщения желательно сохранять в едином защищённом хранилище, будь оно виртуальным или физическим. С помощью этих мер может быть обеспечена аутентичность и надежность содержащихся в электронной почте документов.

17. Предпочтительно иметь единый корпоративный перечень документов с указанием сроков хранения, поскольку в этом случае исключается возможность того, что различные деловые подразделения будут использовать конфликтующие сроки хранения документов. Если, например, одно деловое подразделение уничтожает определенные документы по истечении 5 лет, то не имеет смысла другому подразделению хранить те же самые документы в течение 10 лет. Если единый корпоративный перечень создать невозможно, меньшие по размеру подразделения, такие как дивизионы или региональные отделения, должны работать с использованием собственных согласованных перечней.

18. Следует запретить архивацию сообщений электронной почты собственными силами отдельных сотрудников. Хотя пользователи могут быть заинтересованы в сохранении определенных сообщений электронной почты по собственным причинам, однако контроль и управления архивацией электронной почты должны быть на уровне организации (или на максимально высоком уровне, насколько это возможно из соображений практичности, например, на уровне департамента, дивизиона или региона).

19. Уничтожение сообщений электронной почты по истечении сроков хранения помогает уменьшить затраты на хранение и правовые риски, улучшая при этом «находимость» важных документов. С деловой точки зрения разумно иметь политику, предусматривающую, скажем, уничтожение по истечении 90 или 120 дней всех сообщений электронной почты, которые не помечены как потенциальные документы (помогающие, например, задокументировать транзакцию или ситуацию, которая может быть в будущем оспорена в суде) – за исключением тех сообщений, что подпадают или могут подпасть под судебный запрет на уничтожение.

20. Применяйте практичный подход и используйте публичное облако для хранения только тех материалов, что не имеют длительных сроков хранения и с которыми связаны низкие риски судебных разбирательств. Когда людям нужны функциональные возможности для хранения и коллективной работы, они найдут способ их использовать. Следует установить определенные правила. Это позволит снизить риск компрометации или потери ключевого контента и электронных документов. Следует иметь в виду следующее: некоторые специально разработанные облачные приложения являются высокозащищёнными, однако большинство решений для синхронизации и коллективного использования файлов не имеют надежных средств обеспечения безопасности, и в большинстве случаев в них отсутствуют функциональные возможности для управления документами и проведения массовой миграции. Вам вряд ли стоит хранить слишком много информации в таких приложениях при отсутствии четкой стратегии.

21. Управляйте контентом в социальных сетях в соответствии с политикой управления информацией, и проводите мониторинг социальных сетей с применением мер, обеспечивающих защиту ключевых информационных активов и сохранность деловых документов. Ваша организация должна четко определить, какой контент и тон являются приемлемыми при использовании социальных сетей, и она должна сохранять документы, отражающие использование социальных сетей, которые должны захватываться в режиме реального времени. Если документ существует только в социальных сетях, то он должен быть захвачен и ему должен быть установлен срок хранения. Если он имеется где-либо еще, его нужно захватить в этом месте. Основные правила управления документами применимы к сообщениям в социальных сетях точно так же, как и к прочим видам документов.

22. Международные и национальные стандарты являются эффективными руководствами по реализации управления информацией на практике. Ничего абсолютного в мире нет, однако изучение и использование стандартов, выпускаемых Международной организацией по стандартизации (ИСО) и другими органами по стандартизации должно быть частью любых усилий в области управления информацией. Существует ряд содержащих рекомендации стандартов ИСО в области управления электронными документами, соответствие которым, однако, не может быть объективно проверено. В США (и в значительной степени в остальном мире) широко используемым проверяемым стандартом является DoD 5015.2, хотя он уже устарел и не учитывает использование облачных вычислений, управление документами «по месту» в деловых системах и вертикальные (отраслевые) приложения. Молодой европейский стандарт MoReq 2010 также является проверяемым (хотя этот процесс пока не отлажен) и в нем присутствует понятие агрегаций документов, учитываются различия в потребностях в управлении документами для вертикальных рынков, таких как здравоохранение, оборона и финансовые услуги, а также управления документами, находящимися в деловых системах.

23. Для обеспечения всеобъемлющей безопасности конфиденциального электронного контента на протяжении всего его жизненного цикла, контент должен быть с момента создания защищён с использованием таких сложных технологий, как технологии шифрования или управления правами доступа к информации (information rights management, IRM). IRM действует как своего рода «защитная оболочка», которая не позволяет получить доступ без предъявления соответствующих полномочий. Также ведётся тщательный мониторинг доступа к контенту и его использования лицами, имеющими надлежащие действующие полномочия. Соответствующее программное обеспечение контролирует доступ, копирование, редактирование, рассылку и печать конфиденциальных документов с использованием реализующего политику «движка» (policy engine), который управляет правами на просмотр и работу с электронным контентом. Права доступа устанавливаются в соответствии с должностным положением или «ролями», которые сотрудники выполняют в организации.

24. Запроектированная защита персональных данных (privacy by design) - исполнение законодательно-нормативных требований по защите неприкосновенности частной жизни должно быть встроено в деловые процессы и в максимально возможной степени автоматизировано. При управлении персональной информацией, включая защищаемую медицинскую информацию (protected health information, PHI), персональные данные (personally identifiable information, PII) и информацией о кредитных картах (credit card information, PCI) вопросы обеспечения неприкосновенности частной жизни должны быть на первом месте. Некоторые штаты США требуют уничтожения PHI / PII / PCI вскоре после завершения обработки этих чувствительных персональных данных или же тогда, когда соответствующее лицо перестает быть клиентом.

25. Создание стандартизированные элементов метаданных должно быть частью усилий в области управления информацией, направленных на обеспечение более быстрого, полного и точного поиска и извлечения документов. Это важно не только для повседневной деловой деятельности, но также и тогда, когда приходится анализировать, возможно, миллионы документов на этапе раскрытия сторонами имеющейся у них информации (discovery) в ходе судебного процесса. Хорошее управление метаданные также способствует сохранению корпоративной памяти и улучшению подотчетности в деловых операциях. Использование стандартного формата и контролируемых словарей обеспечивает «точное и понятное описание контента, местоположения и ценности». Использование контролируемых словарей означает, что Ваша организация стандартизировала наборы терминов, используемые для описывающих документы элементов метаданных. Это обеспечивает согласованность всей коллекции документов и помогает оптимизировать функции поиска и извлечения, исследование документов, а также исполнение запросов на э-раскрытие и исполнение других законодательно-нормативных требований.

26. Программное обеспечение для управления мастер-данными (master data management, MDM) имеет ключевое значение для программы полномасштабного управления данными (data governance) – такое программное обеспечения помогает выделить и поддерживать «единую версию истины» или, иными словами, обеспечивать хранение единственного, не имеющего дубликатов экземпляра «чистых» данных.

27. Концепции управления информационными технологиями, такие как ISO 38500, ITIL (от Information Technology Infrastructure Library - библиотека методов организации ИТ-инфраструктуры) и COBIT5 являются важнейшими инструментами, помогающими организациям в достижении их деловых целей при разработке программного обеспечения и оказании вычислительных услуг. Они служат руководствами при управлении корпоративной информацией и технологическими активами.

28. Некоторые электронные информационные ресурсы подлежат постоянному хранению как часть документального наследия организации. Чрезвычайно важно выявить документы, которые должны храниться длительное время (более 10 лет), и сделать это как можно раньше. В идеале, эти документы должны быть выделены ещё до или сразу же после их создания. Методы обеспечения долговременной сохранности электронных материалов (long term digital preservation, LTDP) применяются в отношении как изначально-электронного контента, так и контента, который был преобразован в электронную форму. Под электронной сохранностью понимается долгосрочное, обеспечивающее отсутствие ошибок хранение электронной информации, а также средств для её извлечения и интерпретации, в течение установленного срока хранения. Существуют сложившиеся и проверенные LTDP-процессы, стандарты и модели.

Внимательно посмотрите на эти 28 положений наилучший практики управления информацией, поманипулируйте ими, отредактируйте, пополните, нарежьте на куски и приспособьте для своих целей. Коллективный «мозговой трест» управления информацией способен продвинуть эту дисциплину вперед.

(Окончание следует, см. http://rusrim.blogspot.ru/2015/06/28-3.html )

Роберт Смолвуд (Robert F. Smallwood)

Источник: блог на сайте LinkedIn
https://www.linkedin.com/pulse/best-practices-information-governance-robert-f-smallwood?trk=mp-reader-card

1 комментарий: