Планирование соответствия нормативным требованиям
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2006-11-27
Сервер Microsoft Exchange Server 2007 с самого начала разрабатывался таким образом, чтобы облегчить пользователям решение задач соответствия различным нормативным требованиям. В сервере Exchange 2007 реализовано несколько возможностей, облегчающих сбор данных о сообщениях электронной почты в почтовом ящике пользователя по мере получения, пересылки или отправки этих сообщений за пределы организации.
В следующем списке содержится несколько примеров ситуаций, в которых возможности соответствия нормативным требованиям, реализованные в Exchange 2007, облегчают поддержание высокого уровня соответствия требованиям или реагирование на возможное изменение этих требований в будущем.
Политики сохранения данных. Множеству организаций нужно хранить данные в течение определенного периода времени, а затем удалять эти данные в целях сохранения конфиденциальности.
Требования к конфиденциальности. Ежедневно организации передают по электронной почте секретные и конфиденциальные сведения, принадлежащие как отдельным сотрудникам, так и организации в целом. Эти организации должны защищать личные данные отдельных сотрудников и сохранять конфиденциальность при обмене сведениями.
Ограничения в соответствии с корпоративными стандартами. Организации, деятельность которых связана с ценными бумагами и другими финансовыми сведениями, зачастую должны запрещать обмен сведениями между определенными группами внутри организации.
Запросы на предоставление сведений. Иногда организации участвуют в судебных процессах. В рамках такого процесса, стороны могут потребовать друг от друга предоставить определенные сведения. Эти сведения зачастую представляют собой сообщения электронной почты.
Дополнительные сведения о новых возможностях соответствия нормативным требованиям см. в разделе Обзор возможностей соответствия требованиям.
Важность соответствия нормативным требованиям
В каждой организации вопрос соответствия нормативным требованиям должен быть рассмотрен на высоком уровне. Очень часто организации должны предоставлять сведения по запросам судебных учреждений или предоставлять документацию в органы государственного регулирования для подтверждения соответствия нормативным требованиям.
Организации, рассмотревшие вопрос соответствия нормативным требованиям на стадии планирования собственной информационной инфраструктуры, смогут с меньшими затратами предоставлять по запросу необходимую информацию. Таким организациям также проще обеспечить соответствие другим нормативным требованиям.
Те же организации, которые заранее не учли необходимость соответствия нормативным требованиям, могут столкнуться с необходимостью сортировки миллионов сообщений электронной почты вручную, теряя время и деньги. Организации также могут нести юридическую ответственность за несоответствие требованиям законов или другим нормативным требованиям.
Даже в том случае, если организации никогда не участвовала в судебном разбирательстве и от нее не требовалось соответствие нормативным требованиям, велика вероятность того, что эта организация обрабатывает частные и конфиденциальные сведения, подпадающие под действие законов и нормативных актов определенной страны или региона. Таким образом, знание законов и нормативных актов, регулирующих работу организации, и принятие упреждающих действий, направленных на обеспечение соответствия данным законам, является чрезвычайно важным.
Список некоторых законов и нормативных требований, применимых к организации, см. в разделе Обзор процедуры ведения журнала.
Рассмотрение вопроса соответствия нормативным требованиям в организации
Очень важно четко понимать требования и обязанности, применимые к организации. Если ранее вопрос соответствия нормативным требованиям в организации не обсуждался, развертывание сервера Exchange 2007 может стать катализатором данного обсуждения. В ходе обсуждения данного вопроса с руководством организации и юридическими представителями следует получить ответы на перечисленные ниже вопросы.
Обрабатывает ли организация данные клиентов?
Разработаны ли в организации политики защиты данных клиентов?
Передает ли организация конфиденциальные сведения по электронной почте?
Контролируется ли в организации доступ к просмотру конфиденциальных сведений и их получатели?
Разработаны ли в организации политики и процедуры ответов на запросы о предоставлении сведений, поступающие из судебных органов?
Существуют ли законы или нормативные требования, запрещающие обмен сведениями между определенными группами внутри организации?
Существуют ли законы или нормативные требования, согласно которым организация должна удалять данные по истечении определенного промежутка времени?
В этом списке представлены только некоторые вопросы, на которые необходимо получить ответ. Этот список не является окончательным. Он содержит примеры, которые призваны содействовать решению некоторых вопросов, применимых к организации. Организации может потребоваться рассмотрение дополнительных вопросов.
Если в организации уже разработана и применяется комплексная политика соответствия нормативным требованиям, следует обсудить с руководством и должностными лицами, отвечающими за соответствие нормативным требованиям, возможность использования сервера Exchange 2007 в качестве средства реализации соответствия нормативным требованиям.