事实标明，与IT系统和数据不时的法例日益增多。IT蛊卦者必须尽我方的一份力量买球·(中国)APP官方网站，幸免可能因违纪而导致巨额罚金的常见失实。

[[440130]]

合规性是真是每家公司濒临的严峻事实——尤其是在医疗保健、金融行状和政府等高度监管的行业。诚然合规性鄙俚受到法律、合规、风险管制或其他部门的监管，但IT部门治服会参与企业的合规性职责。

企业的CIO和其他技艺专揽必须了解悉数波及数据、秘密、安全和其他技艺要素的法例。他们不错发达要津作用，确保他们地方的公司不会因为违纪而受到巨额罚金的打击。

多年来，好意思国医疗保健和不时行业的IT高管不得不轻率《健康保障畅通与包袱法案》(HIPAA)的影响，举例，该法案章程了电子医疗保健信息的安全性和秘密性。然而监管环境变得越来越复杂，尤其是出现了好多波及数据秘密的新王法，其中包括欧盟的通用数据保护条例(GDPR)和加州破费者秘密法案(CCPA)。

公共数十个国度和好意思国各州也制定了近似的法例来保护个东谈主数据。研究机构Gartner公司瞻望，到2023年底，当代秘密法例将涵盖公共75%东谈主口的个东谈主信息。

与IT系统、网罗、开垦和数据不时的合规性是目下企业濒临的实验，使其成为CIO眷注的伏击限制。要津是在不影响业务运营的情况下开展合规性职责。因此，企业需要幸免以下一些失实：

1.将审计师视为敌手

米德尔菲尔德银行CIO Gary Kern暗示，偶而IT高管很难不采纳防护姿态。当审计东谈主员和审查东谈主员质疑其IT筹谋终点对合规性的影响时，就会发生这种情况。他说，“当有东谈主对IT高管三念念此后行的策略挑出失实时，就会知谈他们要对某些事情发表挑剔。”

关联词，为这种事情制造摩擦无助于搞定问题。Kern说：“最佳是进行面对面的计议，计议他们的不雅点，并念念考怎么让运营的环境变得更好。但愿是每个东谈主都在为吞并件事奋发，包括制定合规法律王法的东谈主，那等于确保不会发生失实，使运营环境更好，过程更透明。”

Kern以他的切身资历来磨真金不怕火这种策略。他说，“我并不认吞并些初设施查效果，因此我与首席IT审查员进行了深刻计议，以了解得到不利挑剔的原因，并尝试聘任非防护性的形式进行解释。咱们为此达成了共鸣，两边都以为这是公谈的，然后不时进行。”

简短六个月后，与其进行计议的首席IT审查员邀请Kern插足审查员年度寰宇培训会议。他说，“事实证明注解，这对我来说是一次很棒的资历，它为我提供了对通盘过程的更好视力。”

接洽机构Protiviti公司技艺接洽业务总司理Samir Datt暗示，监管机构鄙俚会从里面审计(IA)论说中获取他们的概念。他说，“若是CIO与IA过程协作并继承该过程，而不是隐秘，他们就有契机在监管审查之前主动搞定监管合规问题。”

2.以失实的形式处理格外

大多数王法都有例外，这适用于管制IT不同方面的法例。

Kern说，“很少有事情在100%的情况下都是正确的谜底，尤其是在需要衡量业务、安全和客户影响的情况下。因此，最佳诞生一个格外管制过程。”

这个过程包括记载正在作念的事情以及为什么它可能与现存合规王法突破;正在采纳哪些稀疏要领来杀青合规主义;是否长久性地绕过王法，或者是否将依期进行审查;以及哪些高档非IT利益不时者签署了例外的条目。

Kern说，“天然，有些王法根底无法绕过。然而，在需要作出业务决策以‘继承风险’的情况下，一定要充理会释这少许。合规性的意图若缘何其他形式处理，或在每种情况下可能没特有趣的情理，都应该记载下来。”

3.莫得让团队作念好准备

与大多数IT团队濒临的问题通常，短缺必要的手段、考验和常识可能会导致合规性问题。

HPE公司CIO Rashmi Kumar说，“普遍的合规计策始于其团队。”他说，CIO必须诞生一个合规团队，使用握续纠正的方法来轻率与IT不时的法例要求变化。

Kumar暗示，“HPE公司的公共IT合规团队依赖于握续纠端庄营，在该筹谋中，咱们不断细目合规筹谋在论说、参与和规矩管制方面所需的篡改。专揽咱们的合规性方法，咱们简略将根据委派时间镌汰五天。”

Kumar暗示，合规职责需要跨职能。他说：“咱们将合规性纳入每个东谈主的主义，让每个东谈主都负起包袱。这确保得到他们的维持和参与，最终促进合规性文化的发展。”

4.允许合规性决定安全性

医疗保健支付行状商Zelis公司首席信息安全官Russel Prouix暗示，诚然IT和网罗安全蛊卦者需要实时了解合规性问题，尤其是监管要求，但其主义应该永恒是一个健全的安全筹谋，以稳妥地维持企业的业务、主义和运营的垂直行业。若是这么作念，那么合规性就会成为一种效果，而不单是是主义。

Prouix说，基本的安全措施鄙俚管制不善，导致合规性成为龙套。这包括稳妥的修补和间隙管制、用户帐户安全(或在职工离开企业时实时删除帐户)、使用双身分身份考据进行良友探问，以及对出动开垦进行稳妥的安全和出动开垦管制。

Prouix说，“稳妥的安全需要从上至下的方法。在尝试实施任何网罗安全筹谋(包括维持合规性的筹谋)之前，必须取得董事会、首席实行官和行政蛊卦层的维持才能定下基调。然后IT和安全需要与企业协作以确保数据受到保护，同期使数据简略流动，从而使企业蕃昌发展并保握竞争力。”

5.莫得聘任要津技艺器具

诚然法律和合规团队可能认真采购知足合规性需求的技艺，但IT蛊卦者天然不错参与匡助弃取和部署最合适的搞定决策。

Gartner公司于2021年9月细目了合规性蛊卦者应将其技艺投资要点放在三个限制。第一个限制是基础记载系统。该公司暗示，对这些合规性系统的投资不错减少论说和构建数据集所需的临时数据拿获，从而开释数据分析和东谈主工智能(AI)在合规方面的后劲。

第二个限制是数字化的职责过程。Gartner公司暗示，法律和合规团队濒临的管制工​​作比以往任何时候都多，通过技艺杀青最大流量职责流的数字化是可行的，不错显赫改善职责流。

第三个限制是风险的数字化管制。Gartner公司暗示，监管波动、数字业务转型、不断增多的网罗安全风险，以及从受监控的风险和安全活动中获取的巨额信息，正在为止企业通过传统模拟形式有用管制风险的技艺。合规认真东谈主应该寻找契机简化风险管制和合规不时活动，并通过与运营级数据源的系统集成来提升他们对风险的相识。

Gartner公司法律和合规实践接洽总监Zack Hutto指出，传统的合规团队对技艺的聘任过时于好多其他公司职能部门。他说，这些团队应该领先诞生基础记载系统，然后投资器具以促进要津职责过程，然后再探索更复杂的契机，举例数字化风险管制。

6.不了解监管意图

在某些情况下，企业对监管问题的相识可能与监管意图不都备一致，这可能会导致羞辱。这适用于与IT不时的问题，举例数据秘密。

Datt说，“咱们常常看到一些企业在莫得着实相识监管机构要求的情况下酬谢，监管机构鄙俚会提供不雅察/或需要刺眼的事项。

Datt暗示，企业应该着实相识指令的内容，而不是过分眷注需要刺眼的事项。他说，“与监管者进行邃密的协作对话有助于相识监管机构的监管内容。”

7.短缺结构化治理

Datt暗示，诚然企业可能有本色性的过程和规矩措施，但它们时时短缺一个结构化的治理和风险框架以证明风险隐蔽边界，并使其过程和规矩措施与监管要求保握一致。

他说：“短缺结构化和文档化的过程可能导致企业架构/规矩的非感性化，在反应监管或其他利益不时者查询时出现叨唠或潜在的风险盲点。”

Datt指出，CIO和其他技艺蛊卦者应该构建一个举座治理架构，该架构将信息安全、企业架构、应用法度和基础架构团队勾通在全部，并通过筹谋将合规性融入技艺委派中。

 买球·(中国)APP官方网站