Сервер Microsoft Exchange Server 2007 с самого начала разрабатывался таким образом, чтобы облегчить пользователям решение задач соответствия различным нормативным требованиям. В сервере Exchange 2007 реализовано несколько возможностей, облегчающих сбор данных о сообщениях электронной почты в почтовом ящике пользователя по мере получения, пересылки или отправки этих сообщений за пределы организации.
В следующем списке содержится несколько примеров ситуаций, в которых возможности соответствия нормативным требованиям, реализованные в Exchange 2007, облегчают поддержание высокого уровня соответствия требованиям или реагирование на возможное изменение этих требований в будущем.
- Политики сохранения данных. Множеству организаций нужно
хранить данные в течение определенного периода времени, а затем
удалять эти данные в целях сохранения конфиденциальности.
- Требования к конфиденциальности. Ежедневно организации
передают по электронной почте секретные и конфиденциальные
сведения, принадлежащие как отдельным сотрудникам, так и
организации в целом. Эти организации должны защищать личные данные
отдельных сотрудников и сохранять конфиденциальность при обмене
сведениями.
- Ограничения в соответствии с корпоративными стандартами.
Организации, деятельность которых связана с ценными бумагами и
другими финансовыми сведениями, зачастую должны запрещать обмен
сведениями между определенными группами внутри организации.
- Запросы на предоставление сведений. Иногда организации
участвуют в судебных процессах. В рамках такого процесса, стороны
могут потребовать друг от друга предоставить определенные сведения.
Эти сведения зачастую представляют собой сообщения электронной
почты.
Дополнительные сведения о новых возможностях соответствия нормативным требованиям см. в разделе Обзор возможностей соответствия требованиям.
Важность соответствия
нормативным требованиям
В каждой организации вопрос соответствия нормативным требованиям должен быть рассмотрен на высоком уровне. Очень часто организации должны предоставлять сведения по запросам судебных учреждений или предоставлять документацию в органы государственного регулирования для подтверждения соответствия нормативным требованиям.
Организации, рассмотревшие вопрос соответствия нормативным требованиям на стадии планирования собственной информационной инфраструктуры, смогут с меньшими затратами предоставлять по запросу необходимую информацию. Таким организациям также проще обеспечить соответствие другим нормативным требованиям.
Те же организации, которые заранее не учли необходимость соответствия нормативным требованиям, могут столкнуться с необходимостью сортировки миллионов сообщений электронной почты вручную, теряя время и деньги. Организации также могут нести юридическую ответственность за несоответствие требованиям законов или другим нормативным требованиям.
Даже в том случае, если организации никогда не участвовала в судебном разбирательстве и от нее не требовалось соответствие нормативным требованиям, велика вероятность того, что эта организация обрабатывает частные и конфиденциальные сведения, подпадающие под действие законов и нормативных актов определенной страны или региона. Таким образом, знание законов и нормативных актов, регулирующих работу организации, и принятие упреждающих действий, направленных на обеспечение соответствия данным законам, является чрезвычайно важным.
Список некоторых законов и нормативных требований, применимых к организации, см. в разделе Обзор процедуры ведения журнала.
Рассмотрение вопроса
соответствия нормативным требованиям в организации
Очень важно четко понимать требования и обязанности, применимые к организации. Если ранее вопрос соответствия нормативным требованиям в организации не обсуждался, развертывание сервера Exchange 2007 может стать катализатором данного обсуждения. В ходе обсуждения данного вопроса с руководством организации и юридическими представителями следует получить ответы на перечисленные ниже вопросы.
- Обрабатывает ли организация данные клиентов?
- Разработаны ли в организации политики защиты данных
клиентов?
- Передает ли организация конфиденциальные сведения по
электронной почте?
- Контролируется ли в организации доступ к просмотру
конфиденциальных сведений и их получатели?
- Разработаны ли в организации политики и процедуры ответов на
запросы о предоставлении сведений, поступающие из судебных
органов?
- Существуют ли законы или нормативные требования, запрещающие
обмен сведениями между определенными группами внутри
организации?
- Существуют ли законы или нормативные требования, согласно
которым организация должна удалять данные по истечении
определенного промежутка времени?
В этом списке представлены только некоторые вопросы, на которые необходимо получить ответ. Этот список не является окончательным. Он содержит примеры, которые призваны содействовать решению некоторых вопросов, применимых к организации. Организации может потребоваться рассмотрение дополнительных вопросов.
Если в организации уже разработана и применяется комплексная политика соответствия нормативным требованиям, следует обсудить с руководством и должностными лицами, отвечающими за соответствие нормативным требованиям, возможность использования сервера Exchange 2007 в качестве средства реализации соответствия нормативным требованиям.