Décrire des concepts de gouvernance, de risque et de conformité (GRC)

Effectué

Les organisations sont confrontées aujourd’hui à une complexité croissante et à des changements dans les réglementations en matière d’environnement, ce qui exige une approche plus structurée de la gestion Gouvernance, risque et conformité (GRC).

Diagramme montrant un framework GRC.

Lorsqu’elles établissent la compétence GRC, les organisations peuvent établir une infrastructure qui inclut l’implémentation de stratégies, des processus opérationnels et des technologies spécifiques. Une approche structurée de la gestion GRC aide les organisations à réduire les risques et à améliorer l’efficacité de la conformité.

L’un des prérequis important à l’établissement de la compétence GRC est la compréhension des termes clés.

Gouvernance

La gouvernance est le système de règles, de pratiques et de processus utilisé par une organisation pour diriger et contrôler ses activités. De nombreuses activités de gouvernance découlent de normes, obligations et attentes externes. Par exemple, les organisations établissent des règles et des processus qui définissent qui, quoi, où et quand les utilisateurs et les applications peuvent accéder aux ressources d’entreprise, qui dispose de privilèges administratifs et pendant combien de temps.

Risque

La gestion des risques est le processus d’identification, d’évaluation et de réponse aux menaces ou aux événements susceptibles d’avoir un impact sur les objectifs de l’entreprise ou du client. Les organisations sont exposées à des risques provenant de sources externes et internes. Les risques externes peuvent provenir de forces politiques et économiques liées aux événements météorologiques, aux pandémies et aux violations de la sécurité, pour ne citer que quelques sources. Les risques internes sont des risques qui proviennent de l’organisation elle-même. Par exemple, les fuites de données sensibles, le vol de propriété intellectuelle, la fraude et les délits d’initiés.

Conformité

La conformité fait référence aux lois fédérales, du pays/de la région ou de l’état, ou même aux réglementations multinationales qu’une organisation doit suivre. Ces réglementations définissent les types de données qui doivent être protégés, les processus requis par la législation et les sanctions imposées aux organisations qui ne s’y conforment pas.

Il est important de noter que la conformité n’est pas la même chose que la sécurité. Toutefois, la sécurité doit être prise en compte lors de la création d’un plan de conformité, car une sécurité efficace est souvent une exigence de conformité. La conformité exige uniquement que les normes minimales imposées par la loi soient respectées, tandis que la sécurité des données couvre l’ensemble des processus, procédures et technologies qui définissent la façon dont vous gérez les données sensibles et vous protégez contre les violations.

Voici quelques concepts liés à la conformité :

  • Résidence des données - En ce qui concerne la conformité, les réglementations sur la résidence des données régissent les emplacements physiques où les données peuvent être stockées et comment et quand elles peuvent être transférées, traitées ou accessibles à l’échelle internationale. Ces règlements peuvent différer considérablement selon la compétence.
  • Souveraineté des données - La souveraineté des données est un autre élément important à prendre en considération. Il s’agit du concept selon lequel les données, en particulier les données personnelles, sont soumises aux lois et réglementations du pays/région dans lesquels elles sont collectées physiquement, conservées ou traitées. Cela peut ajouter une couche de complexité en matière de conformité, car le même élément de données peut être collecté dans un endroit, stocké dans un autre, et traité dans un autre encore, ce qui le soumet aux lois de différents pays/régions.
  • Confidentialité des données - La notification et la transparence en matière de collecte, de traitement, d'utilisation et de partage des données personnelles sont des principes fondamentaux des lois et règlements relatifs à la protection de la confidentialité. Le terme Données personnelles signifie toute information se rapportant à une personne physique identifiée ou identifiable. Les lois sur la protection des données personnelles englobent toutes les données qui sont directement associées ou indirectement associables à une personne. Les organisations sont soumises, et doivent opérer en conformité avec, une multitude de lois, réglementations, codes de conduite, normes spécifiques à l’industrie et normes de conformité régissant la confidentialité des données.

Toutes les organisations gèrent les données. Comprendre la terminologie et les concepts liés à la conformité est donc important, car elles travaillent au respect des lois ou réglementations minimales et obligatoires.