Governança da informação - Information governance
Parte de uma série sobre |
Governança |
---|
Modelos |
Por nível |
Por campo |
Medidas |
tópicos relacionados |
Governança de informações , ou IG , é a estratégia geral para informações em uma organização. A governança de informações equilibra o risco que as informações apresentam com o valor que as informações fornecem. A governança de informações ajuda na conformidade legal, transparência operacional e redução de despesas associadas à descoberta legal . Uma organização pode estabelecer uma estrutura lógica e consistente para que os funcionários lidem com os dados por meio de suas políticas e procedimentos de governança de informações. Essas políticas orientam o comportamento adequado em relação a como as organizações e seus funcionários lidam com informações armazenadas eletronicamente ( ESI ).
A governança de informações abrange mais do que o gerenciamento de registros tradicional . Ele incorpora a segurança da informação e proteção, compliance, governança de dados , descoberta eletrônica , gestão de risco , privacidade, armazenamento de dados e arquivamento, gestão do conhecimento , as operações de negócios e gestão, auditoria, análise, gerenciamento de TI, gerenciamento de dados , arquitetura empresarial , business intelligence , big data , ciência de dados e finanças.
História
Gestão de registros
O gerenciamento de registros trata da criação, retenção, armazenamento e descarte de registros. Um registro pode ser um objeto físico tangível ou informações digitais, como um banco de dados, dados de aplicativos e e-mail. O ciclo de vida foi historicamente visto como o ponto de criação para o eventual descarte de um registro. À medida que a geração de dados explodiu nas últimas décadas e os problemas de conformidade e regulamentações aumentaram, o gerenciamento de registros tradicional deixou de acompanhar o ritmo. Uma plataforma mais abrangente para gerenciar registros e informações tornou-se necessária para abordar todas as fases do ciclo de vida, o que levou ao advento da governança de informações.
Em 2003, o Departamento de Saúde da Inglaterra introduziu o conceito de governança de informações de base ampla no Serviço Nacional de Saúde, publicando a versão 1 de uma ferramenta de avaliação de desempenho online com orientação de apoio. O NHS IG Toolkit é agora usado por mais de 30.000 NHS e organizações parceiras, apoiadas por uma plataforma de e-learning com cerca de 650.000 usuários.
Em 2008, a ARMA International introduziu os Princípios Geralmente Aceitos de Manutenção de Registros®, ou "Os Princípios" e o subseqüente Modelo de Maturidade de Governança de Informações "Os Princípios". "Os Princípios" identificam as marcas críticas da governança da informação. Como tal, eles se aplicam a organizações de todos os tamanhos, em todos os tipos de indústrias e nos setores público e privado. As organizações multinacionais também podem usar os "Princípios" para estabelecer práticas consistentes em uma variedade de unidades de negócios. A ARMA International reconheceu que uma declaração clara de "Princípios de manutenção de registros geralmente aceitos®" ("Os princípios") orientaria:
- CEOs na determinação de como proteger suas organizações no uso de ativos de informação;
- Legisladores na elaboração de legislação destinada a responsabilizar as organizações; e
- Profissionais de gerenciamento de registros na concepção de programas abrangentes e eficazes de gerenciamento de registros.
A governança de informações vai além da retenção e disposição para incluir privacidade, controles de acesso e outras questões de conformidade. Na descoberta eletrônica, ou descoberta eletrônica, os dados relevantes na forma de informações armazenadas eletronicamente são procurados por advogados e colocados em retenção legal . IG inclui a consideração de como esses dados são mantidos e controlados para e-discovery e também fornece uma plataforma para disposição defensável e conformidade. Além disso, os metadados geralmente acompanham os dados armazenados eletronicamente e podem ser de grande valor para a empresa se armazenados e gerenciados corretamente.
Com todas essas considerações adicionais que vão além do gerenciamento tradicional de registros, o IG surgiu como uma plataforma para as organizações definirem políticas no nível corporativo, em várias jurisdições. O IG também prevê a aplicação dessas políticas nos vários repositórios de informações, dados e registros.
Uma coalizão de organizações conhecida como Electronic Discovery Reference Model (EDRM), fundada em 2005 para tratar de questões relacionadas à descoberta eletrônica e governança da informação, posteriormente desenvolveu, como um de seus projetos, um recurso denominado Information Governance Reference Model (IGRM) . Em 2011, a EDRM, em colaboração com a ARMA International, publicou um white paper que descreve como o modelo de referência de governança da informação (IGRM) complementa os princípios de manutenção de registros geralmente aceitos da ARMA International ("os princípios"). O IGRM ilustra a relação entre as principais partes interessadas e as informações Ciclo de vida e destaca a transparência necessária para permitir uma governança eficaz IGRM v3.0 Update: Privacy & Security Officers As Stakeholders.
Em 2012, o Conselho de Conformidade, Governança e Supervisão (CGOC) desenvolveu o Modelo de Maturidade do Processo de Governança da Informação, ou (IGPMM). O modelo descreve 13 processos-chave em descoberta eletrônica (e-discovery) e gerenciamento de informações . Cada processo é descrito em termos de um nível de maturidade de um a quatro - completamente manual e ad hoc para maiores graus de integração de processos entre funções e automação. Em 2017, ele foi atualizado para incluir ênfase em questões jurídicas, privacidade, segurança da informação, questões de segurança em nuvem e questões em evolução de privacidade de dados, incluindo o impacto do Regulamento Geral de Proteção de Dados (GDPR) (UE) .
Estrutura organizacional
No passado, os gerentes de registros possuíam o gerenciamento de registros, talvez dentro de um departamento de conformidade em uma empresa. A fim de abordar as questões mais amplas em torno do gerenciamento de registros, várias outras partes interessadas principais devem estar envolvidas. Jurídico, TI e Conformidade tendem a ser os departamentos que mais tocam na governança de informações, embora certamente outros departamentos possam buscar representação. Muitas empresas criam comitês de governança de informações para garantir que todos os constituintes necessários sejam representados e que todas as questões relevantes sejam abordadas.
Ferramentas
Para lidar com a retenção e descarte, os aplicativos de Gerenciamento de Registros e Gerenciamento de Conteúdo Corporativo foram desenvolvidos. Às vezes, eram criados mecanismos de pesquisa desanexados ou ferramentas próprias de definição de políticas. Muitas vezes eram empregados em um nível departamental ou de divisão; raramente as ferramentas eram usadas em toda a empresa. Embora essas ferramentas tenham sido usadas para definir políticas, elas não tinham a capacidade de aplicá-las. O monitoramento da conformidade com as políticas era cada vez mais desafiador. Como a governança de informações aborda muito mais do que o gerenciamento de registros tradicional, várias soluções de software surgiram para incluir a vasta gama de problemas enfrentados pelos gerentes de registros.
Outras ferramentas disponíveis incluem:
- ARMA International Information Governance Implementation Model
- Princípios de manutenção de registros geralmente aceitos pela ARMA
- Modelo de Maturidade do Processo de Governança da Informação CGOC
- EDRM Information Governance Reference Model (IGRM)
- NHS Information Governance Toolkit
Leis e regulamentos
A chave para o IG são os regulamentos e leis que ajudam a definir as políticas corporativas. Alguns desses regulamentos incluem:
Estados Unidos
- A Lei de Conformidade Fiscal de Contas Estrangeiras, ou FATCA
- Padrão de segurança de dados da indústria de cartões de pagamento ou conformidade com PCI
- Lei de Portabilidade e Responsabilidade de Seguro Saúde, ou HIPAA
- Lei de Modernização de Serviços Financeiros de 1999, ou GLBA
- Sarbanes – Oxley Act de 2002, ou Sarbox ou SOX
- Regras Federais de Processo Civil
- Regulamento geral de proteção de dados ou GDPR
- Lei de Privacidade do Consumidor da Califórnia ou CCPA
União Européia
Reino Unido
- Lei de Proteção de Dados 2018
- Regulamento geral de proteção de dados - o GDPR será incorporado diretamente à legislação nacional imediatamente após a saída do Reino Unido da União Europeia
- Regulamentações NIS - A Diretiva NIS da UE foi transposta para a legislação do Reino Unido pelo DCMS, em maio de 2018, por meio das regulamentações NIS.
Diretrizes
- MoReq2
- MoReq2010
- ISO 15489 Informação e Documentação - Gerenciamento de Registros
- DoD 5015.2, ou Padrão de Critérios de Projeto para Aplicativos de Software de Gerenciamento de Registros Eletrônicos
Veja também
- Armazenamento definido de dados
- Gestão de dados
- Descoberta eletronica
- Gestão de conteúdo empresarial
- Gestão da informação
- Governança de tecnologia da informação
- Gestão do conhecimento
- Arquivos nacionais
- Gestão de registros