GRC – Governance, Risk Management, and Compliance
GRC to zintegrowane podejście do zarządzania organizacją, które łączy trzy obszary:
- Governance (Ład): określa kierunek działania organizacji – strategie, cele, polityki. To zasady, procesy i praktyki kierujące działaniami organizacji. Określają kto, co, gdzie i kiedy może uzyskać dostęp do zasobów, oraz kto ma uprawnienia administracyjne i na jak długo. Często wynika z wymogów zewnętrznych (np. standardów, norm branżowych).
- Risk Management (Zarządzanie ryzykiem): identyfikuje, ocenia i minimalizuje ryzyka, które mogą wpłynąć na realizację celów. Identyfikacja i reagowanie na zagrożenia wewnętrzne i zewnętrzne, które mogą wpłynąć na realizację celów.
- Ryzyka zewnętrzne: np. ataki, klęski żywiołowe, kryzysy.
- Ryzyka wewnętrzne: np. wycieki danych, oszustwa, nadużycia.
- Compliance (Zgodność): zapewnia spełnianie wymagań prawnych, regulacyjnych i wewnętrznych. Spełnianie wymagań prawnych (krajowych i międzynarodowych), które określają m.in. jak chronić dane, jakie procedury wdrożyć i jakie grożą sankcje za brak zgodności. Uwaga: Zgodność ≠ bezpieczeństwo. Zgodność wymaga spełnienia minimum prawnego. Bezpieczeństwo to pełen zestaw praktyk chroniących dane. Kluczowe pojęcia związane ze zgodnością:
- Data residency (Lokalizacja danych): określa, gdzie fizycznie dane mogą być przechowywane i przetwarzane.
- Data sovereignty (Suwerenność danych): dane podlegają prawu kraju, w którym są zebrane lub przetwarzane.
- Data privacy (Prywatność danych): obowiązek informowania, jak dane osobowe są zbierane, wykorzystywane i udostępniane; dotyczy każdego typu danych identyfikujących osobę.