Политика за съхранение и унищожаване на данни

Политиката за съхранение и унищожаване на данни (P14) установява всеобхватни изисквания за съхранението и сигурното унищожаване на всички организационни данни през целия им жизнен цикъл, за да се осигури съответствие, да се намали рискът и да се подпомогне оперативната ефективност. Тази политика се прилага в цялата организация и обхваща всеки физически и цифров информационен актив, който е собственост на компанията, обработва се или се съхранява от нея, включително активи, управлявани от трети страни, дъщерни дружества и партньори по външно възложени услуги. Обхванатите активи включват цифрови файлове, бази данни, имейли и системи за резервно копиране, както и хартиени записи и извеждан от експлоатация хардуер. Основната цел на политиката P14 е да дефинира строги контроли за това колко дълго се съхраняват данните въз основа на правни, регулаторни и оперативни нужди и да гарантира тяхното постоянно, сигурно изтриване, когато вече не са необходими. Чрез налагане на ясни графици за съхранение на данни и строги процедури за унищожаване политиката подпомага изискванията на ISO/IEC 27001:2022, позволява проследимо управление на записи и защитава поверителността, цялостността и наличността на данните. Важно е, че политиката помага на организацията да предотврати ненужно натрупване на данни, което може да доведе до нарушения на защитата на личните данни, неефективност или повишен бизнес риск. Ролите и отговорностите са ясно разграничени в политиката: висшето ръководство одобрява и осъществява надзор върху съответствието; директорът по информационна сигурност (CISO) притежава, дефинира и наблюдава внедряването на политиката; длъжностното лице по защита на данните (DPO) консултира по защита на личните данни и валидира боравенето с данни; а собствениците на информационни активи гарантират, че графиците са обосновани и разрешени. Екипите по ИТ и информационна сигурност отговарят за внедряването на технологични контролни мерки, докато всички служители, изпълнители и релевантни трети страни са задължени да следват инструкциите за съхранение и унищожаване. Външните доставчици и облачните доставчици трябва да спазват договорни клаузи за сигурност и да предоставят одиторско доказателство за унищожаване при поискване. Изискванията за управление предвиждат създаване и поддържане на главен график за съхранение на данни (MDRS), преглеждан поне ежегодно, както и одобрение на методите за унищожаване и сертификатите за всички данни с изтекъл срок. Политиката налага периоди на съхранение, определени от класификацията и обвързани с бизнес нуждите и правните основания, и изрично забранява безсрочно, осиротяло или неодобрено съхранение на данни. Специализирани разпоредби адресират съхранението на резервни копия и архиви, като осигуряват съгласуваност със среда за аварийно възстановяване и подкрепа за изтриване на данни при поискване съгласно GDPR или други закони за защита на личните данни. Контролите за унищожаване се прилагат съгласно NIST SP 800-88 или еквивалентни стандарти, като изискват необратими и документирани методи за унищожаване както за цифрови, така и за хартиени носители. Правното задържане и спирането на изтриването отменят нормалните графици за изтриване в случай на съдебно производство или разследване, а всички изключения от планираното съхранение изискват оценка на риска и одобрение от ръководството. Дейностите по прилагане и съответствие включват периодични одити, проверки за съответствие, докладване на нарушения и дисциплинарни мерки при необходимост. Политиката също така изисква текущо обучение за осведоменост на персонала и задейства Политика за реагиране при инциденти при всяко нарушение или инцидент, свързан с унищожаване. Чрез периодичен преглед и актуализация на политиката и синхронизиране на свързани документи като Политика за контрол на достъпа и политики за управление на активи организацията осигурява защитим, ефективен и съгласуван с регулациите подход към управлението на жизнения цикъл на данните.