Տեղեկատվության և տվյալների պաշտպանության ալիքը
1) Նշանակումներ և տարածք
Ապահովել անվտանգ, մատչելի և վստահելի միջոց աշխատողների, կապալառուների, աֆֆիլիատների և այլ սթեյքհոլդերների համար տեղեկացնել խախտումների մասին (կոռուպցիա, խարդախություն, AML/պատժամիջոցներ, RG, GDPR/PII, PCI/IB, գովազդ/աֆֆիլիաներ, շահերի բախումներ, պայմանագրեր և ոտնձգություններ)։ Փաստաթուղթը կարգավորում է ջրանցքները, անունությունը, տվյալների մշակումը, հետաքննությունների ընթացակարգերը և պաշտպանությունը բռնաճնշումներից։
2) Սկզբունքներ
Զրոյական հանդուրժողականություն բռնաճնշումների համար։ Ցանկացած պատասխանատու միջոցներ արգելված են։
Գաղտնիությունը և տվյալների նվազեցումը։ Հավաքումը միայն անհրաժեշտ է need-to-know սկզբունքով։
Անանունությունը տեղեկատուի ընտրության մասին։ Հաղորդակցվելու հնարավորություն առանց անհատականության բացահայտման։
Ժամանակահարմար և արդարություն։ SLA 2019/դիտարկումներ; փաստաթղթավորված, կանոնավոր մեթոդաբանություն։
Անկախություն։ Դերերի բաժանումը 'հաղորդագրությունների ընդունումը, հետազոտությունը, սանկցիաները։
Գործընթացի թափանցիկությունը։ Կարգավիճակի հետևում, հակառակը, հանրային վիճակագրությունը առանց կերպարների։
3) Դերեր և RACI
Whistleblowing Medicer (WBO) - գործընթացի սեփականատերը, եռյակը, ուսումնասիրությունների համակարգումը, հաշվետվությունները։ (A/R)
Compliance/Legal/DPO-ը իրավական գնահատական է, տվյալների պաշտպանությունը, գաղտնիության քաղաքականությունը։ (R/C)
Windows Sec/WPO-ը ջրանցքների անվտանգությունն է, կոդավորումը, մուտքի վերահսկումը, ամսագրումը։ (R)
HR/ER (Employee Relance) - էթիկայի/վարքի, աջակցության միջոցներ։ (R)
Mastal Audit (IA) - անկախ հետազոտությունների որակի վերահսկումը և CAPA-ը։ (C)
Express/Trust & Safety - տեխնոլոգիական/ֆրոդը, թվային արտեֆակտների հավաքումը։ (R)
Exec Sponsor (CEO/COO) - «tone from the top», ռեսուրսներ, S1։ (I/A)
4) Պաշտոնական հաղորդագրությունների ալիքները
1. Վեբ ձևը (առաջարկվող հիմնական) անանունության աջակցությունն է։ պաշտպանված նամակագրություն տոքսենի/պինի միջոցով։
2. Էլեկտրոնային փոստ 'առանձնացված տուփ, որը պարունակում է ավտոմեքենաների կոդավորում, ավտոկվիտացիա առանց բովանդակության բացահայտման։
3. Տաք գիծը/հեռախոսը 'մուտքագրումը տվյալների դիմադրման համակարգում։
4. Chat-bot-ը կորպորատիվ մեսենջերում 'ոչ անանուն (կամ գործառնական մեխանիզմով)։
5. Փոստի հասցեն/ֆիզիկական արկղը 'օֆլայնի հաղորդագրությունների համար (սկանավորում և բեռնումը Համակարգում)։
6. Ուղիղ կապ WBO/IA-ի հետ 'անձնական հանդիպումը տեղեկատվական ցանկությամբ։
Տերմինալի պահանջները ՝ TRPend-to-end, ծածկագրված պահեստ, RBAC, հասանելիության ամսագրեր անփոփոխ, IP/սարքերի թրքինգի բացակայություն անանուն ձևով, cookie/logs թափանցիկ քաղաքականությունը։
5) Տվյալների պաշտպանությունը և իրավական հիմքերը
Lawful basis: իրավաբանական պարտականությունների կատարումը, ընկերության օրինական շահերը, հասարակական հետաքրքրությունը (կախված իրավասությունից)։
DPIA 'Մինչև գործարկումը' գաղտնիության վրա ազդեցության գնահատումը։ ռիսկերի ամրագրում և նվազեցման միջոցներ։
Տվյալների դասակարգումը 'անձնական, զգայուն (առողջություն, էթնիկություն և այլն), առևտրային գաղտնիքը, հետաքննության արտեֆակտները։
Նվազեցում 'ոչ ավելին հավաքել։ հեռացնել չհամապատասխանող փաստաթղթերը։
Վճարային փոխանցումները 'միայն իրավական հիմքերի և պայմանագրային երաշխիքների առկայությամբ։
Տվյալների սուբյեկտների իրավունքները 'DSAR-ը մշակվում է DPO-ի կողմից։ բացառություն 'չփորձարկել տեղեկատուի ինքնությունը և տվյալները, որոնք վտանգում են հետազոտությունը/երրորդ դեմքերը։
Ռետենիա 'հաղորդագրությունները և արտեֆակտները սովորաբար 5 տարի են կամ քաղաքականության/օրենքի/լիցենզիայի միջոցով։ ապա անվտանգ հեռացում (crypto-shred/տրամաբանական լվացում ամսագրի հետ)։
6) Անվտանգություն և տեխնոլոգիական միջոցներ
Կոդավորումը ՝ at-rest (KFC/HSM), in-transit (TSA), բանալիները 'ռոտացիայի և տարբերակման հետ։
Հասանելիությունը ՝ RBAC/ABAC, ամենափոքր արտոնությունների սկզբունքը, անանուն դեպքերի համար առանձին օրինագծերը։
Ամսագրեր ՝ անփոփոխ (WORM), անսովոր հասանելի, ալերտներ։
Սեգմենտացիան 'հաղորդագրությունների համակարգը մեկուսացված է պրոդ համակարգերից։ առանձին բեքապներ, որոնք ստուգում են վերականգնումը։
Մետատվյալներ 'դիմակավորում, EXIF-ի հեռացում ներդրումներից, տեղեկատվության նախազգուշացում ավտոմատ դե նույնականացման մասին։
Կապի գաղտնի ջրանցքները 'պաշտպանված փոստի/վեբ փոստը երկկողմանի անանուն նամակագրության համար։
7) Քեյսների դասակարգումը և առաջնահերթությունները
S1 (Կրիտիչնո) ՝ կոռուպցիա/կաշառք, մեծ ֆրոդ, PII/PCI արտահոսք, կյանքի/անվտանգության վտանգներ, լուրջ հանցագործությունների/օրենքների խախտումներ։
S2 (Բարձր) ՝ քաղաքականության խախտումները (AML/RG/GDPR/IB), շահերի լուրջ հակամարտությունները, պաշտպանությունները/ոտնձգությունները։
S3 (Միջին) 'տեղական ընթացակարգերի խախտումներ, գովազդի/աֆֆիլատների սխալներ, վարքի տարբեր խախտումներ։
S4 (Ցածր) 'բարելավման առաջարկներ, ցածր դատարաններ։
SLA:- Ընդունման քվիտանիա ՝ S1/S2 - 2424 ժամ; S3/S4 - 353 rdn.
- Առաջնային գնահատումը (triage): S1-4948 ժամ; S2-355 rdn; S3/S4 - 3510 rdn
- Հետազոտության պլանը 'S1-353 rdn; S2-2410 rdn
8) Հաղորդագրությունից մինչև փակումը
Քայլ 1 - Ընդունումը և քվիտանիան։ ID-ի նշանակումը, ջրանցքի ամրագրումը, ապացույցների պահպանումը «ինչպես կա»։
Քայլ 2 - Տրիաժ և անկախություն։ Նշանակված դեմքերի շահերի բախման ստուգումը։ հակամարտությունը վերաբաշխումն է։
Քայլ 3 - Ռիսկի գնահատում և պլան։ Ծավալը, վարկածները, մեթոդների օրինականությունը, արտեֆակտների ցանկը, ճանապարհային քարտեզը։
Քայլ 4 - Ապացույցների հավաքում։ Փաստաթղթերը, լոգները, հարցազրույցները, գործարքների նմուշները։ chain of custody.
Քայլ 5 - Վերլուծություն և եզրակացություններ։ Ռուսական չափանիշների փաստը (քաղաքականություն/օրենք/լիցենզիա) բացատրում է ռուսական ազդեցության ռիսկը։
Քայլ 6 - Առաջարկություններ և CAPA։ Ուղղող/զգուշացնող գործողություններ, սեփականատերեր, ժամկետներ, հաջողության չափումներ։
Քայլ 7 - Հաղորդակցություն և հետադարձ կապ։ Առանց բացահայտելու տեղեկատուի ինքնությունը. կոկիկ լեզու (առանց ֆոսֆորի)։
Քայլ 8 - Մոսկվա և վերականգնումը։ Վերջին զեկույցը, կարգավիճակը, արտեֆակտների պահպանումը, անանուն վիճակագրությունը։
9) Հաղորդակցություն և պաշտպանություն տեղեկատուի
Ոչ մի tipping-off. Չի բացահայտել ենթադրված խախտողներին հաղորդագրության/հետազոտության փաստը։
Պաշտպանություն բռնաճնշումներից։ Արգելված է նվազեցնել, հեռացնել, զրկել բոնուսներից, վնասվածքներից և այլն: Պատասխանները դիտարկվում են որպես առանձին S1/S2 խախտում։
Աջակցություն 'անհրաժեշտության դեպքում տեղափոխումը այլ թիմ, արձակուրդ, HR/իրավաբանների խորհրդատվություն/հոգեբանական աջակցություն։
Երկկողմանի անանուն կապը 'տեղեկատվողը կարող է հարցեր տալ և ստանալ կարգավիճակը վեբ ինբոքսի/հոսանքի միջոցով։
10) Փոխհարաբերություններ այլ քաղաքական գործիչների հետ
Էթիկայի և վարքագծի ստանդարտները և ալիքները։
Հակակոռուպցիոն քաղաքականությունը due diligence, նվերներ, միջնորդներ։
GDPR/PII-ը վերամշակման օրինակն է, DSAR-ը, վերականգնումը։
AML/RG/PCI/IB - ավելացված ընթացակարգեր և եռյակը։
Ներքին աուդիտը անկախ հետազոտությունների որակի վերահսկումն է։
11) Չեկ թերթերը
11. 1 Նախքան ջրանցքը սկսելը
- DPIA-ն և գաղտնիության քաղաքականությունը պնդված են DPO/Legal-ի կողմից։
- Անանուն վեբ ձևը և երկկողմանի կապը հոսանքի հետ։
- WBO/Triage-թիմեր հետազոտության մեթոդաբանության վերաբերյալ։
- Մոսկովյան ձևանմուշները (քվիտանիա, հետազոտության պլան, զեկույց, փակման նամակ)։
- Հաղորդակցման քարոզարշավը '«tone from the top», պաստառներ, ինտրան, FAQ։
- Նշանակված է ID, գրված է ամսաթիվը/ալիքը/S մակարդակը։
- Տեղեկատվության հաստատումը ուղարկվել է առանց մանրամասների բացահայտման։
- Կատարողների հետաքրքրությունների բախումը ստուգվել է։
- Գրանցվում են բոլոր ներդրումները/մետատվյալները, կատարվում է դե նույնականացում։
- Պլանը և հիպոթեզները պնդված են (Legal/DPO/WindowSec - անհրաժեշտության դեպքում)։
- Chain-of-custody-ը կատարվում է յուրաքանչյուր արտեֆակտի համար։
- Հարցազրույցները պրոտոկոլացվում են; նախազգուշացում։
- Եզրակացությունները հիմնված են որդեգրված փաստերի վրա, peer-review-ի վրա։
- CAPA-ն նշանակված է, ժամկետներն ու չափումները որոշվում են։
- Ինֆորմատորը (հնարավորություն) ստացավ անանուն հետադարձ կապ։
- Ռետենցիա/դասակարգումը տեղադրված է. արտեֆակտները տեղադրված են արխիվ։
- Վիճակագրությունը նորարարված է դաշնամուրի վրա։
[Տեխնիկական ճարտարապետություն 'ծածկագրում, RBAC, WORM ամսագրեր։
11. 2 Հաղորդագրություն ընդունելը
11. 3 Հետազոտություն
11. 4 Մոսկվա
12) Փաստաթղթերի ձևանմուշները (արագ լուծումներ)
A) Տեղեկատվության քվիտանիա
> Շնորհակալություն հաղորդագրության համար։ Ձեր ID: WB-XXXX։ Մենք ուսումնասիրում ենք տեղեկատվությունը և միանում, անհրաժեշտության դեպքում, այս անվտանգ ալիքի միջոցով։ Դուք կարող եք անանուն մնալ։ Խնդրում եմ, մի բացեք տեղեկատվությունը մինչև ստուգման ավարտը։
B) Հետազոտության պլանը (one-pager)
Քեյս ՝ WB-XXX գերակայություն: S1/S2/S3/S4 Սեփականատեր... Ժամկետները ՝...
Հիպոթեզներ/չափանիշներ....
Տվյալները/արտեֆակտներ:...
Հարցազրույցներ ՝ ցուցակ/գրաֆիկա
Գաղտնիության ռիսկերը/իրավաբանական սահմանափակումները....
Հաղորդակցություն և կառավարման կետեր....
C) Վերջնական զեկույցը (կառուցվածքը)
Ռեզյումեի փաստերը Չափանիշներ (քաղաքականություն/օրենք) Վերլուծություն CAPA Pax (արտեֆակտներ) առաջարկությունների վերաբերյալ։
D) Փակման նամակ
> Մենք ասում ենք, որ WB-XXXX-ի քեյսի քննարկումը ավարտված է։ Ձեռնարկվել են կանխարգելման միջոցներ։ Շնորհակալություն ընկերության էթիկական և անվտանգ աշխատանքի մեջ ներդրման համար։
13) Metriki և dashbord
Intake Volume-ը 'կատեգորիաների և կատեգորիաների հաղորդագրությունների քանակը։
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
SLA պահպանումը S մակարդակներում։
CAPA Progress: 108/աշխատանքային/ժամկետանց, փակված։
Retaliation Index: Գրանցվել բողոքներ պատասխանային միջոցների մասին (նպատակը 0)։
Anonymity Rate-ը անանուն հաղորդագրությունների մասնաբաժինն է և նրանց հակադարձումը հաստատված դեպքերի մեջ։
Repeat Findings-ը 12 մեզ կրկնությունն է։
Awareness Impact-ը 'քարոզարշավից հետո դիմումների աճը։ NPS վստահություն։
14) Ռիսկերը և վերահսկման միջոցները
Դեանոնիմիզացիան մետատվյալների միջոցով է։ de-նույնականացումը, EXIF-ի հեռացումը, ակնհայտ նախազգուշացումները։
Քեյսամի հասանելիության արտահոսքերը։ RBAC, սեգմենտացիա, WORM ամսագրեր, wwWORM-ի հասանելիություն։
Գեղարվեստական հաղորդագրություններ/չարաշահումներ, որոնք պարունակում են քաղաքավարի ֆիլտրեր և փաստերի ստուգում։ պատժամիջոցները ակնհայտ կեղծ հայտարարությունների համար (առանց ահաբեկման ազդեցության)։
Հետաքննության մեջ հետաքրքրությունների հակամարտությունը բացատրում է կատարողների ռոտացիան, IA/Legal-ի մասնակցությունը։
Ռեպրեսիա. Բողոքների առանձին հոսք; արագ արձագանք HR/Compliance։
15) Ուսուցում և գիտելիքներ
Onbording 'ալիքի, անանունության և տվյալների պաշտպանության մոդուլ (թեստը 6585%)։
Ամեն տարի վերափոխումը բոլորի համար. լրացուցիչ դասընթացներ WBO/հետազոտողների համար։
Եռամսյակային քարոզարշավները (պաստառներ/բոտ քվիզներ/վիդեո) 'ինչպես ներկայացնել, թե ինչ է սպասվում, օրինակներ։
16) 30-օրյա իրականացման պլանը
Շաբաթը 1
1. Նշանակել WBO և աշխատանքային խումբ (Compliance/Legal/DPO/WindoSec/HR/IA)։
2. Անցկացնել DPIA-ն, հաստատել գաղտնիության և վերականգնման քաղաքականությունը։
3. Օգտագործեք ալիքները (վեբ ձև/փոստ/գիծ), անանունության և լոգարանների պահանջները։
Շաբաթ 2
4. Իրականացնել ռուսական պլատֆորմը 'կոդավորումը, RBAC, WORM ամսագրերը, անանուն վեբ-ինբոքսը։
5. Պատրաստել ձևանմուշներ և SOP 'քվիտանիա, պլան, զեկույց, փակման նամակ, CAPA։
6. Ուսուցել WBO/triage-թիմը; գրել RACI և SLA։
Շաբաթ 3
7. Օդաչուն '1-2 թեստային գործարք (table-top), ապացույցների և վերացումների շղթայի ստուգում։
8. Տեղադրեք դաշբորդ մետրը և հաշվետվությունները կառավարման/հանձնաժողովի համար։
9. Հաղորդակցություն 'նամակ CEO, էջ ինտրանտում, FAQ, պաստառներ։
Շաբաթ 4
10. Ջրանցքի արձակումը; ww.SLA/բեռը; տաք աջակցություն։
11. Շաբաթական ակնարկներ S1/S2 և CAPA ստատուսներ։
12. Ռետրոն և Nov1։ 1 (քաղաքականություն, ձևեր, ուսուցում)։
17) Կապված հատվածներ
Էթիկայի և վարքի բարելավում
Հակակոռուպցիոն քաղաքականություն
AML դասընթացները և աշխատողների ուսուցումը/Աշխատավորների իմացությունը հաճույքի մասին
Պատահական պլեյբուսներ և սցենարներ
Dashbord complaence եւ www.ru
Ներքին աուդիտ և արտաքին աուդիտ
Խախտումների և հաշվետվությունների ժամկետների մասին ծանուցումներ
Կարգավորող հաշվետվությունները և տվյալների ցանկը