1. Kế hoạch trước mắt. Đừng chờ đợi vụ kiện
cáo, than phiền môi trường làm việc thù địch, lộ bí quyết thương mại, hoặc thông tin bí mật bị mất để bắt đầu quản lý dữ liệu.
2. Biết cái gì được yêu cầu hợp pháp. Hiểu
rõ những yêu cầu hợp pháp của ngành bạn và một số điều luật mà công ty bạn vận hành. Ví dụ: nghĩa vụ lưu giữ dữ liệu đối với thông tin riêng biệt trong một quốc gia hay một bang là gì? Cái gì bảo vệ nếu tồn tại bất kỳ sự truy cập hoặc sự lưu giữ hạn chế nào? Bạn có biết những gì phải được mã hoá và có nghĩa vụ thông báo nào nếu có sự vi phạm bảo mật? Bộ lọc có thận trọng với phán quyết để tránh môi trường làm việc thù địch hay bộ lọc có được xem như sự vi phạm bảo mật không?
3. Một kích thước có thể không thích hợp cho
tất cả. Nếu bạn hoạt động trong phạm vi quốc
gia hay quốc tế, bạn phải hiểu các nghĩa vụ xung đột thỉnh thoảng mà hệ thống quản lý dữ liệu điện tử của mình sẽ hướng đến. Chẳng hạn, xem xét tường lửa, hạn chế truy cập và vô hiệu hoá chức năng cụ thể trong một số điều luật mà không cho phép theo dõi hay lọc.
4. Ấn định trách nhiệm quản lý hệ thống. Chọn
nhân viên chịu trách nhiệm duy trì và quản lý dữ liệu điện tử. Có thể chọn những người từ bộ phận pháp lý và CNTT, được cung cấp từ bộ phận nhân sự hay từ những bộ phận khác. Yêu cầu mọi người tham gia sớm để họ làm cho hệ thống hoạt động khi yêu cầu pháp lý xuất hiện.
46
5. Định vị các mẫu khác và người giữ dữ liệu.
Hãy nhớ rằng dữ liệu có thể được lưu trữ trên bàn làm việc, trợ lý cá nhân kỹ thuật số (PDA), máy vi tính ở nhà, máy vi tính xách tay và nhiều thứ khác. Trước khi bạn quản lý dữ liệu mà pháp luật bắt buộc công ty chịu trách nhiệm, thì đầu tiên bạn phải xác định cái gì và ở đâu nó bảo đảm rằng hệ thống mà mình chấp nhận sẽ thực sự giữ lại dữ liệu liên quan. Biết siêu dữ liệu nào bạn có.
6. Lựa chọn hệ thống quản lý dữ liệu linh
hoạt. Lựa chọn hệ thống quản lý dữ liệu linh
hoạt đủ để hướng đến các nhu cầu cụ thể như lưu giữ, lưu trữ, theo dõi, lọc và mã hoá của công ty trong phạm vi pháp lý mà công ty hoạt động. Chọn hệ thống “thân thiện với người dùng” để nhân viên không thể đi đến chỗ phá hỏng nó. Chọn hệ thống có thể tương thích với yêu cầu pháp lý liên quan. Dự trù cho sự tăng trưởng và phát triển của dữ liệu, bao gồm cả siêu dữ liệu.
7. Đừng phạm phải sai lầm của những người
đi trước. Chỉ vì công nghệ cho bạn khả năng
lưu trữ dữ liệu điện tử lớn không có nghĩa là bạn nên tận dụng điều đó. Sự lưu trữ không cần thiết dữ liệu không chỉ phục hồi dữ liệu phức tạp mà còn tăng rủi ro trộm cắp thông tin. Ví dụ: không lưu trữ dữ liệu tài chính nhạy cảm của khách hàng nếu bạn không cần nó. Nếu cần, hãy mã hoá dữ liệu.
8. Các chính sách tương thích. Thông qua các
chính sách rõ ràng và đơn giản thích hợp với những luật có thể áp dụng hướng đến việc lưu giữ tài liệu, bao gồm “lưu giữ chứng cứ ” tốt trong trường hợp kiện tụng. Ở Hoa Kỳ, thông qua một chính sách theo dõi công khai email
47
điện tử của nhân viên tốt. Thông qua chính sách mã hoá tốt cho thông tin bảo mật để tránh vô tình tiết lộ. Ở nơi cho phép, thông qua thủ tục kỷ luật để tạo dấu ấn cho lực lượng lao động rằng bạn muốn những gì mình nói.
9. Chuẩn bị. Đừng đợi đến “tình huống kiện
tụng” (không dính dáng vào kiện tụng) mới đưa vào một quy trình lưu giữ chứng cứ. Hãy tạo ngay quy trình để gạt qua một bên bất kỳ quy trình huỷ dữ liệu nào để việc lưu giữ chứng cứ có thể bắt đầu nhanh khi cần thiết. Hãy làm việc trước bất kỳ cuộc “gặp gỡ và tranh tụng” trước phiên toà để hướng đến việc khám phá điện tử. Nguyên đơn biết họ có gì và tại sao họ có nó sẽ ở vào vị trí mạnh hơn để thoả thuận được kế hoạch khám phá điện tử thuận lợi nhất. Đừng đợi việc vi phạm bảo mật xảy ra mới đưa vào quy trình nhắc nhở thông báo và báo cáo.
10. Đào tạo, kiểm tra và sau đó đào tạo, kiểm
tra thêm. Một chính sách và hệ thống quản lý
dữ liệu chỉ hoạt động khi nhân viên biết cách sử dụng chúng. Nó đòi hỏi việc duy trì và triển khai chu đáo và đồng bộ. Mua hệ thống quản lý dữ liệu chỉ là bước đầu tiên để tuân thủ. Dữ liệu mới, công nghệ mới, luật mới, mối đe dọa mới, nhân viên mới đều đòi hỏi sự siêng năng trong duy trì và liên tục đào tạo và kiểm tra.
© Baker & McKenzie 2007 In lại với sự cho phép củaPostini, Inc. WP33-0705