सूचना रिसाव की रोकथाम के उपायों की व्याख्या: संगठनों में लागू होने वाले नियमों की व्यवस्था क्या होनी चाहिए
सूचना का रिसाव किसी भी कंपनी की गतिविधियों को घातक क्षति पहुंचा सकता है। इसलिए, यह महत्वपूर्ण है कि आप आंतरिक रूप से इसे रोकने के उपाय तैयार करें।
विशेष रूप से, कंपनी के नियमावली को व्यवस्थित करना और उसके अनुसार कार्य करना आवश्यक हो सकता है। तो विशेष रूप से किस प्रकार की कंपनी की नियमावली तैयार की जानी चाहिए? इस लेख में, हम कंपनी के कानूनी अधिकारियों के लिए, सूचना के रिसाव के जोखिम को कम करने के लिए कंपनी की नियमावली की व्यवस्था के बारे में विवरण देंगे।
सूचना रिसाव के संबंध में कंपनी के नियम
सूचना रिसाव कब और किस प्रकार होगा, यह निश्चित करना संभव नहीं है। इसलिए, पहले से ही ठोस कंपनी के नियम तैयार करना और सूचना रिसाव के लिए तैयार रहना महत्वपूर्ण होता है।
इसके अलावा, यदि किसी दुर्भाग्यपूर्ण परिस्थिति में सूचना रिसाव हो जाता है, तो पहले से ही तय किए गए कंपनी के नियमों के अनुसार उचित तरीके से कार्य करने से, सूचना रिसाव से होने वाले नुकसान को कम से कम करना संभव होता है।
मूल नीति का निर्माण करना
सबसे पहले, कंपनी के रूप में, हमें सूचना लीक के प्रति किस प्रकार की नीति का पालन करना है, इसे स्पष्ट करने के लिए, हमें सूचना लीक से संबंधित मूल नीति का निर्माण करना चाहिए।
मूल नीति में, उदाहरण के लिए, निम्नलिखित प्रकार की बातों को निर्धारित करने पर विचार किया जा सकता है:
- कंपनी और व्यवस्थापकों की जिम्मेदारी से संबंधित विषय
- कानूनी और अन्य अनुपालन से संबंधित विषय
- कंपनी के अंदर की व्यवस्था के निर्माण से संबंधित विषय
- सूचना प्रबंधन से संबंधित विषय
- कर्मचारियों के प्रति प्रयासों से संबंधित विषय
- सूचना लीक होने पर किस प्रकार का समाधान किया जाएगा, इस से संबंधित विषय
- मूल नीति की नियमित समीक्षा से संबंधित विषय
मूल नीति के बारे में, कंपनी की नियमावली के पहलु के अलावा, प्राइवेसी नीति की तरह, हमें बाहरी तौर पर मूल नीति को स्पष्ट करने का एक तरीका भी विचार करना चाहिए। मूल नीति को बाहरी तौर पर स्पष्ट करने से, कंपनी की सूचना लीक के प्रति जागरूकता को दर्शाने में मदद मिलती है, और यह सामाजिक विश्वास में सुधार करने में भी मदद कर सकता है।
हालांकि, स्वाभाविक है कि, मूल नीति को केवल निर्धारित करने से कोई अर्थ नहीं होता। कंपनी की वास्तविक स्थिति के अनुसार मूल नीति को निर्धारित करने की आवश्यकता होती है, और इसके अलावा, निर्धारित की गई मूल नीति के अनुसार कार्यवाही करना महत्वपूर्ण होता है।
संबंधित लेख: व्यक्तिगत जानकारी संरक्षण कानून को ध्यान में रखते हुए प्राइवेसी नीति निर्माण के समय क्या बिंदु होने चाहिए?[ja]
सूचना की सुरक्षा के नियम
संगठन के नियमों के अंतर्गत, सूचना की सुरक्षा के विषय पर नियम बनाने पर विचार किया जा सकता है।
सूचना की सुरक्षा के विषय पर, उदाहरण के लिए, निम्नलिखित प्रकार की सामग्री को सेट करने पर विचार किया जा सकता है।
सूचना लीक के जोखिम का विश्लेषण
यदि सूचना लीक के जोखिम का विश्लेषण पर्याप्त रूप से नहीं किया गया है, तो जोखिम के अनुसार उचित कार्रवाई करने में सक्षम नहीं हो सकते। इसलिए, सूचना की सुरक्षा के विषय पर, संगठन के नियमों में सूचना लीक के जोखिम के विश्लेषण के विषय को निर्धारित करना महत्वपूर्ण होता है।
कंपनी द्वारा रखी गई सूचना को समझना और डेटाबेस करना
कंपनी के रूप में, यदि कंपनी द्वारा रखी गई सूचना को ठीक से नहीं समझा जाता है, तो पर्याप्त प्रबंधन करना कठिन हो जाता है। इसके अलावा, कंपनी द्वारा रखी गई सूचना को डेटाबेस करने से, सूचना का प्रबंधन उचित रूप से करना संभव होता है।
सूचना के हैंडलर को निर्धारित करना
संगठन के नियमों में, यदि कंपनी द्वारा रखी गई सूचना के हैंडलर को निर्धारित किया जाता है, तो सूचना का उपयोग करने की सीमा को कम से कम रखा जा सकता है, और सूचना लीक के जोखिम को कम किया जा सकता है।
सूचना की प्रकटीकरण और प्रदान की प्रक्रिया को निर्धारित करना
संगठन के नियमों में, यदि कंपनी द्वारा रखी गई सूचना की प्रकटीकरण और प्रदान की प्रक्रिया के विषय को ठीक से निर्धारित किया जाता है, तो प्रक्रिया के अनुसार ऑपरेशन किया जाता है। इसलिए, कर्मचारी अपने निर्णय के आधार पर कंपनी की सूचना का उपयोग करने वाली स्थिति को रोक सकते हैं, और परिणामस्वरूप, सूचना लीक की रोकथाम हो सकती है।
सूचना को बाहर ले जाने की सीमा तय करना
संगठन के नियमों में, यदि कंपनी द्वारा रखी गई सूचना को बाहर ले जाने के विषय को निर्धारित किया जाता है, तो सूचना को अनावश्यक रूप से बाहर ले जाने वाली स्थिति को रोका जा सकता है, और सूचना लीक की रोकथाम में कुछ प्रभाव देखा जा सकता है।
सूचना सुरक्षा प्रणाली के निरीक्षण को निर्धारित करना
यदि कंपनी ने सूचना सुरक्षा प्रणाली का निर्माण किया है, लेकिन उस सूचना सुरक्षा प्रणाली के अनुसार ऑपरेशन नहीं किया जा रहा है, तो इसका कोई अर्थ नहीं है।
इसलिए, संगठन के नियमों में, निरीक्षण के विषय से स्वतंत्र प्राधिकरण द्वारा, सूचना सुरक्षा प्रणाली के विषय में निरीक्षण करने के विषय को निर्धारित करने पर विचार किया जा सकता है।
मानव प्रबंधन के नियम
सूचना की रिसाव के मामले में, यह भी हो सकता है कि यह घटना उन लोगों की गलती (मानव त्रुटि) की वजह से हो जिन्होंने सूचना को संभाला हो। इसलिए, कंपनी के नियमों में, सूचना को संभालने वाले व्यक्ति के बारे में नियम बनाने पर विचार किया जा सकता है।
इन मानव प्रबंधन के नियमों के बारे में, यह भी सोचा जा सकता है कि काम के नियमों या गोपनीयता नियमों में इनकी विवरणी तैयार की जाए।
उदाहरण के लिए, निम्नलिखित तरह के नियम बनाए जा सकते हैं:
सूचना की गोपनीयता का दायित्व
कंपनी के नियमों में, कर्मचारियों के लिए, सूचना की गोपनीयता के बारे में नियम बनाने पर विचार किया जा सकता है। सूचना की गोपनीयता के नियम बनाने से, कर्मचारियों पर, संविदा के तहत गोपनीयता का दायित्व लेने की संभावना होती है।
इसके अलावा, कर्मचारियों को सूचना की गोपनीयता के बारे में जागरूक करने की उम्मीद की जा सकती है।
सूचना के उद्देश्य के बाहर उपयोग की प्रतिबंध
सूचना की गोपनीयता के बारे में, प्रमुखतः यह होता है कि सूचना को रिसाव नहीं होने देना। हालांकि, इसके अलावा, सूचना के उद्देश्य के बाहर उपयोग की प्रतिबंध के नियम बनाने से सूचना के रिसाव को रोकने में प्रभावी हो सकता है।
नौकरी में शामिल होने पर गोपनीयता की शपथ
कर्मचारियों के लिए, नौकरी में शामिल होने पर गोपनीयता और सूचना के उद्देश्य के बाहर उपयोग की प्रतिबंध के साथ गोपनीयता की शपथ देने का नियम बनाने का तरीका भी हो सकता है।
नौकरी में शामिल होने के समय की शपथ के बारे में, यह संविदा के तहत जिम्मेदारी लेने के साथ-साथ, कर्मचारियों को सूचना के रिसाव को रोकने के बारे में जागरूक करने का भी अर्थ होता है।
नौकरी छोड़ने के समय की गोपनीयता की शपथ
कर्मचारियों के लिए, नौकरी में रहते हुए सूचना को रिसाव नहीं होने देना तो जरूरी है, लेकिन नौकरी छोड़ने के बाद भी सूचना को रिसाव नहीं होने देने की आवश्यकता होती है।
इसलिए, नौकरी छोड़ने के समय, नौकरी में रहते हुए जानी गई सूचना को नौकरी छोड़ने के बाद भी रिसाव नहीं होने देने की शपथ देने की मांग की जा सकती है। यह इसलिए है क्योंकि कंपनी के नियम मूल रूप से कर्मचारियों पर ही प्रभाव डालते हैं, और नौकरी छोड़ने के बाद इनका कोई प्रभाव नहीं होता।
सूचना रिसाव के बारे में कर्मचारी शिक्षा
कर्मचारियों से, शपथ प्राप्त करके, कुछ हद तक, सूचना रिसाव के बारे में जागरूकता पैदा की जा सकती है, लेकिन शपथ केवल, सूचना रिसाव की गंभीरता को कर्मचारियों को समझाने के लिए, अवश्य ही पर्याप्त नहीं होती है।
इसलिए, नियमित अवधियों पर कंपनी के अंदर प्रशिक्षण करने आदि, कर्मचारियों को सूचना रिसाव को रोकने के लिए शिक्षा देने के लिए कंपनी के नियमों में निर्धारित करने की भी आवश्यकता हो सकती है।
भौतिक प्रबंधन के नियम
सूचना के रिसाव को रोकने के लिए, हमें ऐसा माहौल बनाने की आवश्यकता होती है जहां भौतिक रूप से सूचना का रिसाव कम हो।
उदाहरण के लिए, कंपनी के नियमों में, सूचना के प्रबंधन के बारे में निम्नलिखित तरह की बातें निर्धारित की जा सकती हैं।
सूचना को संग्रहित करने वाले कमरे का प्रवेश और निकासी प्रबंधन
कंपनी के भीतर जितनी सूचना हम संभालते हैं, उसके अनुसार हमें सुरक्षा क्षेत्रों को स्पष्ट रूप से निर्धारित करना चाहिए, और प्रत्येक क्षेत्र के प्रवेश और निकासी प्रबंधन और तालाबंदी आदि का प्रबंधन करना चाहिए, जिससे सूचना के भौतिक रूप से पहुंचने की संभावना कम हो सकती है।
सूचना के भौतिक रूप से पहुंचने की संभावना को कम करने से, सूचना के रिसाव का जोखिम कम हो सकता है।
सर्वर तक पहुंच
यदि सूचना को सर्वर आदि पर संग्रहित किया जा रहा है, तो कंपनी के नियमों में, सर्वर तक पहुंचने के अधिकार को सीमित करने पर विचार किया जा सकता है।
यदि कर्मचारी कोई भी आसानी से सूचना तक पहुंच सकता है, तो उस हिस्से के रूप में, सूचना के रिसाव का जोखिम बढ़ सकता है, इसलिए सूचना को संग्रहित करने वाले सर्वर तक पहुंच को सीमित करना, सूचना के रिसाव को रोकने के लिए प्रभावी हो सकता है।
दस्तावेज़ और अन्य माध्यमों का उपयोग
कंपनी के नियमों में, सूचना को वास्तव में संभालने के समय के उपयोग और भंडारण के बारे में विषयों को विस्तार से निर्धारित करना भी महत्वपूर्ण होता है।
उदाहरण के लिए, यदि सूचना कागजी माध्यम में है, तो इसे तालाबंद कैबिनेट में संग्रहित करने की बात, या सूचना के अवलोकन के लिए कमरा तैयार करने और अन्य कमरों में ले जाने की अनुमति नहीं देने की बात आदि की जा सकती है।
आईटी उपकरणों के उपयोग के नियम
हाल ही में, इंटरनेट की विकास और रिमोट वर्क की बढ़ती हुई संख्या के कारण, आईटी उपकरणों का उपयोग करके जानकारी का आदान-प्रदान करने का अवसर बढ़ रहा है।
इसलिए, कंपनी के नियमों में, आईटी उपकरणों के उपयोग के बारे में, निम्नलिखित तरह की बातों को निर्धारित करने पर विचार किया जा सकता है।
कंपनी से आईटी उपकरण का उधार लेने की प्रक्रिया
सबसे पहले, कंपनी से कंप्यूटर आदि का उधार लेने की स्थिति में, किसने कब उधार लिया इस तरह की बातों को प्रबंधित करना महत्वपूर्ण होता है।
इसके अलावा, कंपनी से आईटी उपकरण का उधार लेने वाले व्यक्ति ने, सूचना का रिसाव होने की संभावना वाले माहौल में आईटी उपकरण का उपयोग नहीं किया है, इसे सत्यापित करने के लिए, निर्धारित समयावधि के बाद उपयोग की स्थिति को समझना भी महत्वपूर्ण होता है।
निजी उपकरण (BYOD) का उपयोग करने की प्रक्रिया
घर से काम करने की संख्या बढ़ने के कारण, कर्मचारियों के निजी आईटी उपकरणों का काम में उपयोग करने वाले मामले भी बढ़ रहे हैं। पीसी या यूएसबी मेमोरी जैसे कर्मचारियों के निजी सामग्री के मामले में, सुरक्षा उपाय अवश्य ही पर्याप्त नहीं हो सकते हैं।
इसके अलावा, यह एक आम तौर पर उपयोग किए जाने वाला आईटी उपकरण है, इसलिए कर्मचारी के रूप में, काम से संबंधित जानकारी का उपयोग करने की संभावना कम हो जाती है, और प्रबंधन अपर्याप्त हो सकता है।
इसलिए, कंपनी के नियमों में, कंपनी कर्मचारियों को निजी उपकरण (BYOD) का उपयोग करने की अनुमति देती है, तो निजी उपकरण (BYOD) का उपयोग करने की प्रक्रिया और प्रतिबंधित बातों को निर्धारित करने पर भी विचार किया जा सकता है।
अन्य सूचना स्रवण संबंधी नियम
इसके अलावा भी, सूचना स्रवण संबंधी कंपनी के नियमों में, निम्नलिखित बातों को निर्धारित करने पर विचार किया जा सकता है।
SNS के व्यक्तिगत उपयोग संबंधी नियम
SNS में, वास्तविक नाम से उपयोग करने वाले और गुमनाम उपयोग करने वाले दोनों होते हैं, लेकिन गुमनाम होने की स्थिति में, SNS पर आसानी से पोस्ट करने की संभावना हो सकती है। इसके अलावा, ज्यादा लोगों की नजरों में नहीं आने की हल्की भावना के साथ पोस्ट करने पर, यदि वह विवादास्पद हो जाता है, तो कई लोगों की नजरों में आने वाली स्थितियाँ भी हो सकती हैं।
SNS के बारे में, यह विस्तार करने की क्षमता रखता है, इसलिए, यदि सूचना स्रवण हो जाता है, तो यह तत्परता से विस्तारित हो सकता है।
इसलिए, कंपनी के नियमों में, कर्मचारियों के SNS के उपयोग के बारे में विषय को निर्धारित करने पर भी विचार किया जा सकता है।
उदाहरण के लिए, SNS के उपयोग का उद्देश्य “व्यावसायिक उद्देश्य” और “व्यावसायिक उद्देश्य के बाहर (निजी)” में विभाजित करने, व्यावसायिक उद्देश्य के मामले में आवेदन/अनुमोदन या विवादास्पद समय की रिपोर्ट करने का अनिवार्यता आदि का तरीका हो सकता है। व्यावसायिक उद्देश्य के बाहर होने पर भी, कंपनी की गोपनीय सूचना या कानूनी उल्लंघन करने वाली बात लिखने को प्रतिबंधित करने, और सूचना स्रवण की संभावना होने पर या विवादास्पद होने पर रिपोर्ट करने की अनिवार्यता पर विचार किया जा सकता है।
सूचना स्रवण के उपाय समूह कंपनियों के पूरे में लागू करने
बड़े पैमाने पर कंपनी होने के कारण, कई समूह कंपनियाँ मौजूद हो सकती हैं। समूह कंपनियों के बीच में गोपनीय सूचना का आदान-प्रदान होने की संभावना हो सकती है, लेकिन यह जरूरी नहीं है कि समूह का पूरा हिस्सा एक ही स्तर की सुरक्षा रखता हो।
इसलिए, उदाहरण के लिए, मुख्य कंपनी से अधिक सुरक्षा संवेदनशील उपकंपनी के प्रति अनुचित पहुंच करने, और सूचना को अनुचित रूप से प्राप्त करने का विचार करने वाले भी हो सकते हैं।
इस प्रकार की स्थिति का सामना करने के लिए, समूह कंपनियों को अलग-अलग सूचना स्रवण के उपाय करने के बजाय, समूह कंपनियों को एकजुट होकर सूचना स्रवण के उपाय करना भी महत्वपूर्ण होता है।
सारांश: सूचना रिसाव के बारे में कंपनी के नियमों पर वकील से परामर्श करें
उपरोक्त, हमने कंपनी के कानूनी अधिकारियों के लिए, सूचना रिसाव के जोखिम को कम करने के लिए कंपनी के नियमों की व्यवस्था के बारे में विवरण दिया है। सूचना रिसाव को रोकने के लिए, विभिन्न दृष्टिकोणों से उपायों को व्यापक रूप से लागू करना महत्वपूर्ण होता है।
इस प्रकार के उपायों के बारे में कंपनी के नियमों पर, विशेषज्ञ दृष्टिकोण को शामिल करके सतर्क विचार करने की आवश्यकता होती है। कंपनी के नियमों की व्यवस्था करते समय, हम विशेषज्ञ ज्ञान वाले वकील से परामर्श करने की सलाह देते हैं।
संबंधित लेख: कंपनी की व्यक्तिगत जानकारी का रिसाव और हानि भरपाई का जोखिम[ja]
हमारे दफ्तर द्वारा उपायों का परिचय
मोनोलिथ कानूनी कार्यालय एक ऐसा कानूनी कार्यालय है, जिसमें IT, विशेषकर इंटरनेट और कानून के दोनों पहलुओं में उच्च विशेषज्ञता है। संगठनात्मक नियमावली का निर्माण करते समय विशेषज्ञ ज्ञान अपरिहार्य है। हमारे दफ्तर में, हम टोक्यो स्टॉक एक्सचेंज पर सूचीबद्ध कंपनियों से लेकर स्टार्टअप कंपनियों तक, विभिन्न मामलों की समीक्षा करते हैं। यदि आपको संगठनात्मक नियमावली के बारे में कोई परेशानी है, तो कृपया नीचे दिए गए लेख का संदर्भ लें।