信息资产管理

信息资产管理

=================================================

本篇主要讨论一些关于数据保护和隐私的话题，共分为三个部分，第一部分是文件保护，第二部分是第三方合规，第三部分是投诉流程

处于业务需求和监管合规考虑，企业必须要做好对文件的保护，那么就产生了以下话题

一、确定一个文件生命周期的典型方法

1、企业必须整理出一份支撑其各种业务流程所需的清单，有了这份清单，企业就可以对所有需要加以保护的文件有一个清楚的了解；
2、企业必须评估每个文件的机密性和敏感性，这样做是为了给各文件划分适当的安全保护级别，换句话说，每个文件都必须按照一个事先确定的文件分类方案进行分类，文件可以分为机密或公开等等；
3、企业要非常清楚，在文件生命周期和业务流程的每个阶段，这些文件是由公司内的哪个部门或哪位员工来负责处理，因此，必须建立一个文件流通图，以跟踪文件在生命周期内的流动；
4、基于文件流通图，企业必须进行流程审核，评估现有的保护措施是都充分，这些措施必须修复被发现的弱点和漏洞，从而将企业的风险降至最低。

二、文件流程审核的重点

创建：文件最初是在何处被创建的
存储：文件是在何处被保存和归档的
使用/分享：文件是在何处被使用或分享的，员工个人所拥有的文件是如何受到保护的
披露：文件是如何被披露的
销毁：企业是如何处理或销毁那些不会被再被用到的文件的

三、对于监管来讲

1、企业应持续关注数据保护相关法律的 *** 作合规性，并经常审核自己的流程，建立有效的投诉解决流程；
2、个人应注意企业提供的信息，确保自己的个人数据不会超出合理的期限后仍被企业保存，而且个人有权撤回之前给出的同意

四、文件分类的建议

1、建立文件分类体系，为文件分配恰当的机密等级和保护措施
2、在所有文件上清楚的标明机密等级
3、不要过分提高机密等级
4、根据员工职责，限制员工对机密文件的存取
5、对新员工进行培训，使其了解企业处理机密文件的政策和措施

五、不进行文件分类会有哪些后果

1、文件被过分提高机密等级
2、任何人都假定自己可以浏览企业内的文件
3、员工离职将带来危险
4、机密文件的安全措施逐渐失效，员工忘记最初的规定

---

当企业和第三方合作开展一些工作时，对于合规方面的考虑尤为必要，那么就产生了以下话题

六、关于和第三方的责任

在委派或外包业务之前，企业要做的第一件事是草拟一份关于公司和供应商或第三方的责任和义务的协议，这么做是为了让各方对各自的角色和责任达成一致，避免错误，将出现错误的风险降到最低

在委派外包业务之前，企业要做的第二件事是确定协议中运营方面的内容，例如：
1、公司期望供应商或第三方提供的服务水平
2、供应商或第三方需要定期汇报给公司的关键绩效指标
3、出现问题后供应商或第三方的处理方法
4、供应商或第三方的应急方案

对第三方的相互信任必须建立在如下基础之上

1、公司对供应商或第三方的能力、长处和弱项有非常全面且清晰的认知；
2、在双方协议中清楚的规定各方的职责或义务，并且双方对此达成一致；
3、企业设定恰当的KPI，要求供应商或第三方及时向企业汇报，并采取行动解决已出现的或潜在的问题。

七、公司在委派或外包业务给第三方前，应采取如下行动

1、选择一家可信赖的第三方
2、在协议中明确规定双方的职责和义务，以及第三方违背任何条款时应做的赔偿
3、在合同中明确公司期望的第三方服务水平、问题处理流程和应急预案
4、如果委派或外包的业务对公司的声誉有很大影响，公司要对第三方的 *** 作流程进行审核
5、建立反馈流程，第三方可以就任何即将发生的时间或失误向企业发出预警
6、为第三方设定KPI，并要求第三方定时向公司汇报

八、公司在与供应商签订合同时，可以参考以下建议

1、在决定合作之前，公司要仔细审查供应商的能力和服务水平，确保供应商有恰当的管理措施；
2、在合同期内，公司应持续监督并审核供应商的管理措施实施情况
3、公司应确保与供应商签订的合同中包含了对数据保护和隐私的约定

九、供应商合同

公司应确保与供应商签订的每份合同都是根据供应商向公司提供的服务量身定制的，不得签署由供应商提供的标准版的合同，合同应至少包括以下要求：

1、供应商保护数据的措施
2、出现数据泄露时供应商的责任
3、合同终止或供应商不再需要提供合同中规定的服务时，数据应如何被销毁
4、组织有对供应商进行审核和调查的权力
5、明确企业和供应商对数据泄露事件应负的责任

十、企业将包含个人数据或其他机密信息的纸质文件外包时，应采取如下做法

1、在外包之前对供应商进行必要的调查和风险评估
2、确保合同内同合理，应特别明确供应商对保护个人数据应付的责任
3、对所有包含个人数据的纸质文件是否得到恰当的保护进行定期审核或监督
4、如果企业外包的文件出现数据泄露，在决定是否向有关机构通报之前，公司应先进行一次全面的调查

---

对于合规来讲，投诉渠道非常重要，不能没有投诉渠道，那如何设计好的投诉流程呢？

十一、如何设计合理的投诉流程

1、让投诉变得简单，让个人知道向组织投诉的方法
2、确保所有员工知道投诉由谁来处理
3、收到投诉后要尽快处理，接到投诉后首先应向投诉者确认
4、设计合理的内部投诉调查流程
5、投诉的内部升级，在向投诉者做出回应之前，先向高层通报此次投诉的内容
6、将投诉结果反馈给投诉者
7、进行内部分析并提供报告，向高层汇报这些投诉的处理方法