レコード(記録)が正しく配置されていることを確認するためのテスト
対象となる行動
レコードが配置されるべき場所のための書面によるポリシーの遵守が、積極的に監視されていません。
指導
ユーザおよびデータスチュワードが、標準に従ってPIIまたはPCIデータを含むファイルが正しく配置しているかどうかを確認するためにテストを実行する必要があります。
必要なポリシー
| PIIまたはPCIデータが含まれていると疑われるファイルが、SharePointサイトまたはOneDrive for Businessファイルストアに格納されているかどうかを確認するために、週単位でテストを実行する必要があります。 |
| 「顧客番号」、「従業員番号」、「サプライヤ番号」、社会保障番号、クレジットカード番号の存在があるということは、テストが失敗したことを意味します。 |
| 各テストの結果はレコードマネージャに送信されます。 |
| テストは毎月のスケジュールで実行され、レコードマネージャおよびデータセキュリティ担当者はアドホックベースで実行します。 |
法的保留要求に対応するためのワークフロー
対象となる行動
特定の人物、プロジェクト、製品、または事例に関するデータを法的保留に置くという要求は十分に成就されていません。データの内容を十分に把握していないと、不必要に大量のデータが隔離され、関連するデータが除外されてしまいます。
指導
法的保留の対象となるファイルを特定するための科学的方法が必要です。過剰なデータが法的保留に置かれている場合、組織は不必要な(そして重要な)インフラストラクチャとサービスコストにさらされています。同様に、もし組織が関連するファイルを紛失してしまうと、法的義務を履行していないことになります。ファイルの内容を照会し、関連する文字列の存在を識別する能力が必要です。
必要なポリシー
| 法務部門は、個人、会社、ケースなどに接続されているすべてのデータを法的に保持する必要があることをアナウンスします。 |
| IT部門は、関係するデータスチュワード(ビジネスユニットマネージャー、部長、レコードマネージャーなど)を特定し、関連する権限、保存方針などによる隔離場所を作成します。 |
| データスチュワードは、スキャン(テキストマイニング)を必要とする人、会社、ケースなどに接続されたファイルのデータレポジトリのリストを提供します。スキャンは設定され、実行されます。 |
| データスチュワードは、データが収集されたときに通知を受け取り、ファイルリストをレビューします。そして例えば関連ファイルを隔離に移動します。 |
