探索 Microsoft 所汲取的五大合規性心得
本文作者: 風險和合規性部門總經理 Brian Armstrong
合規性管理是一項複雜無比的程序,隨著組織規模擴大,複雜度也逐漸攀升。Microsoft 對此一情況更是有著深刻的了解,原因在於:我們不僅在提供客戶安全性和合規性解決方案上深具經驗,更肩負著維護全球合規性的重責大任,致力於為眾多地區性和產業專屬法規把關。Microsoft 在此一過程中汲取到的另一項心得,就是採用具包容性的思維模式,並藉助於數位工具之力,能更順暢地推動合規性管理。
在新的混合式工作環境中,法務遵循已成為董事會層級的重大課題。隨著當地和全球法規紛紛著手規範資料的管理、儲存和傳輸方式,合規性的重要性更甚以往。然而,若要遵守各項法規標準,勢必得找出和降低風險,並依循政策來進行數據治理。踏上合規性管理之旅,可望帶來多項別具價值的成果,包括:
- 可在進行內部或外部調查或採取法律行動時,快速存取所要求的資料。
- 在職場持續革新的過程中保護公司資料格外重要,畢竟,使用個人裝置處理工作已成為日益普遍的現象,而越來越多的員工都會以每天或每週數天的頻率,自實體辦公室以外的地點存取公司網路。
- 可協助竭盡所能保護員工、合作夥伴和客戶安全的資訊安全長 (CISO) 善盡自身的責任。
Microsoft 於自身的合規性旅程中汲取到多項深入解析和最佳做法,而我們也期望藉此機會分享給其他組織,以協助其強化合規性管理實務。唯有讓人員、程序和技術趨於一致,您才有機會防範未然。歡迎參考我們在合規性旅程中汲取到的五大心得,以及其他客戶成功案例。
評估您的合規性態勢
如果不知身處何處,勢必難以 (或不可能) 釐清自己是否朝著正確的方向邁進。那麼,究竟該從何處著手?合規性管理已從組織的「建議措施」晉升為「必備要項」,正因如此,許多組織紛紛投注心力來強化自身的合規性管理實務。然而,一手掌握所應遵守的各項法規,實為一大難題,如果公司身處受到嚴格管制的產業 (例如金融服務業或醫療保健業),困難度更是有增無減。確保良好的合規性態勢,可協助您免於遭到懲處、負面宣傳、罰鍰和財務損失。只是,在瞬息萬變的法規下,此一目標往往遙不可及。使用試算表手動追蹤合規性問題,大多不足以因應所需。若要踏出合規性管理的第一步,建議您藉助於視覺化工具之力,著手評估自身的合規性現況,並追蹤長時間下來的整體進度。
拓展您的合規性構想
只要聽到「合規性」一詞,許多人都會立即聯想到法務遵循層面。鑑於《加州消費者隱私保護法》(CCPA) 和《一般資料保護規範》(GDPR) 頻繁登上各大版面,此一現象完全不讓人意外。但如同先前所提到,合規性的影響所及,早已超越法務遵循的範疇。
事實上,合規性管理還有助於推動創新。許多客戶皆表示:合規性管理可協助他們輕鬆調整作業方式,繼而回應客戶趨勢。美國金融管理公司 Visionary Wealth Advisors 期望讓客戶透過文字訊息與其通訊,但基於合規性考量,該公司必須安全地管理這項資料。因此,Visionary Wealth Advisors 決定採用 Microsoft Purview 資料生命週期管理和 CellTrust SL2,以實現最大程度的安全性和合規性。
Visionary Wealth Advsiors 法務遵循長暨法務長 Ryan Barke 表示:「我們遇到的主要難題,在於客戶並不了解我們所屬產業的法規環境。對方單純想要與自身的財務顧問進行通訊,而財務顧問也想要與客戶進行通訊。儘管我們可以制定原則,以禁止顧問傳送文字訊息給客戶,卻無法控制由客戶主動發起的文字訊息通訊。」
集結各方之力
資料外洩事件正急速暴增,並於 2021 年大舉增加 68% 之多,而每個資料外洩事件的平均成本則高達 424 萬美元1。舉凡內部敏感資料外洩、智慧財產 (IP) 遭竊和詐騙,都有可能對公司帶來不利影響。違規事項也具備同樣的殺傷力,然而,資訊安全長往往過度重視資料保護,以至於忽略合規性的重要性。Microsoft 自身的經驗顯示,合規性的重責大任,不應由資訊安全長獨自承擔。Microsoft 多名高階主管都實地參與了合規性法規和義務的相關作業。各方都需為合規性貢獻一己之力,才能協助 Microsoft 順利推展必要的程序。
組織若能實現強大的合規性管理,旗下各方皆可從中獲益,正因如此,邀請眾多領導階層投身其中的做法,確實有其合理性。舉例來說,澳洲 Marion 市政府部署了 Microsoft Purview 記錄管理,以進一步管理旗下 90 項服務所收集的資料。如此一來,市政府員工就能更妥善地運用資訊建立和處理程序,進而在 Microsoft Teams 中規劃自身的行程和工作流程、設置 SharePoint 網站、建立和連結資訊、建立專屬的 Power BI 報表、設定工作流程,以及更輕鬆地連接各種資訊。
Marion 市資訊管理團隊主管 Karlheins Sohl 表示:「在這些工具的協助下,我們的小型團隊不僅完成了更多工作,也不再需要擔心合規性。我們可以將合規性託付給系統,如此一來,就能著重心力提升提供給 Marion 市政府員工的資訊和服務品質。」
探索資料並識別風險
採取合併或併購等法律行動,或是進行內部或外部調查時,您都可藉助於技術解決方案之力,更有效率地找出所需的相關資料。而隨著資料數量急速暴增,技術解決方案的重要性也更甚以往。
數量龐大的資料,可能會讓您所面臨的情況更加棘手。不過,Microsoft Purview 電子文件探索可協助您節省花費在追蹤資料上的時間和成本。
只要運用 Microsoft Purview 通訊合規性這樣的解決方案,組織就可望降低法規合規性義務的相關風險。
簡化和自動化合規性作業
有效的技術解決方案不僅能簡化複雜的程序,還能減輕這些程序的管理負擔。如果採用多個解決方案提供者,即有可能讓本來就極其繁重的合規性程序雪上加霜,並造成程序支離破碎且效率不彰的局面。只要選用 Microsoft Purview 等全方位解決方案,您就能持續監控合規性變更,並將更新程序自動化,繼而受惠其中。
Frost Bank 的總部位於美國德州,該銀行必須遵循眾多銀行法規,而員工也深知合規性的重要性。Frost Bank 的資訊安全長 Edward Contreras 認為:「合規性就如同每天早晨不可或缺的咖啡。」在採用 Microsoft Purview 合規性管理員之前,一手掌握所有法規,簡直比登天還要難。不過,Microsoft Purview 合規性管理員會每天進行更新,不僅可新增超過 1,000 個法規機構的 200 多項更新,更協助該銀行建立詳細的報告,以利主管機關和稽核人員進行作業。
Frost Bank 端點架構設計師 Glenn McClellan 表示:「合規性管理員為我們解決了法規合規性的麻煩。這款解決方案可提供改善行動,以及相關法規的節錄內容,讓整體合規性管理作業不僅輕鬆,更具有可行性。」
探索 Microsoft Purview
有效的合規性和風險管理不僅極度重要,也絕非遙不可及的夢想。如果您有意藉助於技術解決方案之力,著手簡化自身的合規性管理,Microsoft 可助您一臂之力。
Microsoft Purview 是一款全方位的合規性和風險管理解決方案組合,旨在協助您控管、保護和管理資料,並改善貴公司的風險和合規性態勢。當中提供的解決方案包括:Microsoft Purview 電子文件探索,可協助您集中探索、保留、收集、處理、挑選和分析資料;Microsoft Purview 合規性管理員,可協助您簡化合規性並降低風險;以及 Microsoft Purview 通訊合規性,可協助您跨越多種企業媒體進行符合規範的通訊。我們很樂於提供協助,帶領您順利開展合規性管理之旅。
如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。
1《2021 年資料外洩成本報告》(Cost of a Data Breach Report 2021),Ponemon Institute,IBM。2021 年。
