Поделиться через


Планирование соответствия нормативным требованиям

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2006-11-27

Сервер Microsoft Exchange Server 2007 с самого начала разрабатывался таким образом, чтобы облегчить пользователям решение задач соответствия различным нормативным требованиям. В сервере Exchange 2007 реализовано несколько возможностей, облегчающих сбор данных о сообщениях электронной почты в почтовом ящике пользователя по мере получения, пересылки или отправки этих сообщений за пределы организации.

В следующем списке содержится несколько примеров ситуаций, в которых возможности соответствия нормативным требованиям, реализованные в Exchange 2007, облегчают поддержание высокого уровня соответствия требованиям или реагирование на возможное изменение этих требований в будущем.

  • Политики сохранения данных. Множеству организаций нужно хранить данные в течение определенного периода времени, а затем удалять эти данные в целях сохранения конфиденциальности.

  • Требования к конфиденциальности. Ежедневно организации передают по электронной почте секретные и конфиденциальные сведения, принадлежащие как отдельным сотрудникам, так и организации в целом. Эти организации должны защищать личные данные отдельных сотрудников и сохранять конфиденциальность при обмене сведениями.

  • Ограничения в соответствии с корпоративными стандартами. Организации, деятельность которых связана с ценными бумагами и другими финансовыми сведениями, зачастую должны запрещать обмен сведениями между определенными группами внутри организации.

  • Запросы на предоставление сведений. Иногда организации участвуют в судебных процессах. В рамках такого процесса, стороны могут потребовать друг от друга предоставить определенные сведения. Эти сведения зачастую представляют собой сообщения электронной почты.

Дополнительные сведения о новых возможностях соответствия нормативным требованиям см. в разделе Обзор возможностей соответствия требованиям.

Важность соответствия нормативным требованиям

В каждой организации вопрос соответствия нормативным требованиям должен быть рассмотрен на высоком уровне. Очень часто организации должны предоставлять сведения по запросам судебных учреждений или предоставлять документацию в органы государственного регулирования для подтверждения соответствия нормативным требованиям.

Организации, рассмотревшие вопрос соответствия нормативным требованиям на стадии планирования собственной информационной инфраструктуры, смогут с меньшими затратами предоставлять по запросу необходимую информацию. Таким организациям также проще обеспечить соответствие другим нормативным требованиям.

Те же организации, которые заранее не учли необходимость соответствия нормативным требованиям, могут столкнуться с необходимостью сортировки миллионов сообщений электронной почты вручную, теряя время и деньги. Организации также могут нести юридическую ответственность за несоответствие требованиям законов или другим нормативным требованиям.

Даже в том случае, если организации никогда не участвовала в судебном разбирательстве и от нее не требовалось соответствие нормативным требованиям, велика вероятность того, что эта организация обрабатывает частные и конфиденциальные сведения, подпадающие под действие законов и нормативных актов определенной страны или региона. Таким образом, знание законов и нормативных актов, регулирующих работу организации, и принятие упреждающих действий, направленных на обеспечение соответствия данным законам, является чрезвычайно важным.

Список некоторых законов и нормативных требований, применимых к организации, см. в разделе Обзор процедуры ведения журнала.

Рассмотрение вопроса соответствия нормативным требованиям в организации

Очень важно четко понимать требования и обязанности, применимые к организации. Если ранее вопрос соответствия нормативным требованиям в организации не обсуждался, развертывание сервера Exchange 2007 может стать катализатором данного обсуждения. В ходе обсуждения данного вопроса с руководством организации и юридическими представителями следует получить ответы на перечисленные ниже вопросы.

  • Обрабатывает ли организация данные клиентов?

  • Разработаны ли в организации политики защиты данных клиентов?

  • Передает ли организация конфиденциальные сведения по электронной почте?

  • Контролируется ли в организации доступ к просмотру конфиденциальных сведений и их получатели?

  • Разработаны ли в организации политики и процедуры ответов на запросы о предоставлении сведений, поступающие из судебных органов?

  • Существуют ли законы или нормативные требования, запрещающие обмен сведениями между определенными группами внутри организации?

  • Существуют ли законы или нормативные требования, согласно которым организация должна удалять данные по истечении определенного промежутка времени?

В этом списке представлены только некоторые вопросы, на которые необходимо получить ответ. Этот список не является окончательным. Он содержит примеры, которые призваны содействовать решению некоторых вопросов, применимых к организации. Организации может потребоваться рассмотрение дополнительных вопросов.

Если в организации уже разработана и применяется комплексная политика соответствия нормативным требованиям, следует обсудить с руководством и должностными лицами, отвечающими за соответствие нормативным требованиям, возможность использования сервера Exchange 2007 в качестве средства реализации соответствия нормативным требованиям.