Andmete säilitamise ja kõrvaldamise poliitika

Andmete säilitamise ja kõrvaldamise poliitika (P14) kehtestab terviklikud nõuded kogu organisatsiooni andmete säilitamiseks ja turvaliseks kõrvaldamiseks kogu nende elutsükli jooksul, et tagada vastavus, vähendada riski ja toetada operatiivset tõhusust. See poliitika kehtib kogu organisatsioonis ning hõlmab kõiki ettevõtte omandis olevaid, töödeldavaid või säilitatavaid füüsilisi ja digitaalseid teabevarasid, sh neid, mida haldavad kolmandad osapooled, tütarettevõtted ja allhankepartnerid. Kaetud varad ulatuvad digitaalsetest failidest, andmebaasidest, e-kirjadest ja süsteemide varukoopiatest kuni paberarvestuse ja kasutusest kõrvaldamise nõuete alla kuuluvate seadmeteni. P14 poliitika peamine eesmärk on määratleda ranged kontrollimeetmed selle kohta, kui kaua andmeid hoitakse, lähtudes õiguslikest, regulatiivsetest ja operatiivsetest vajadustest, ning tagada nende püsiv ja turvaline kustutamine, kui neid enam ei vajata. Selgete andmete säilitamise ajakavade ja rangete kõrvaldamisprotseduuride jõustamise kaudu toetab poliitika ISO/IEC 27001:2022 nõudeid, võimaldab jälgitavat kirjete haldust ning kaitseb andmete konfidentsiaalsust, terviklust ja käideldavust. Olulisena aitab poliitika organisatsioonil vältida tarbetut andmete kuhjumist, mis võib põhjustada andmekaitse rikkumisi, ebatõhusust või suurenenud äririski. Rollid ja vastutused on poliitikas selgelt piiritletud: tegevjuhtkond kiidab heaks ja teostab järelevalvet vastavuse üle; infoturbejuht omab, määratleb ja seirab poliitika rakendamist; andmekaitseametnik (DPO) nõustab andmekaitse osas ja valideerib isikuandmete käitlemise; ning infovara omanikud tagavad, et ajakavad on põhjendatud ja autoriseeritud. IT-meeskonnad vastutavad tehniliste kontrollimeetmete rakendamise eest, samas kui kõik töötajad, töövõtjad ja asjakohased kolmandad osapooled on kohustatud järgima säilitamise ja kõrvaldamise juhiseid. Sisseostetud teenused, tarnijad ja pilveteenuseosutajad peavad järgima lepingulisi turbeklausleid ning esitama nõudmisel kõrvaldamise audititõenduse. Juhtimisnõuded näevad ette andmete säilitamise põhigraafiku (MDRS) loomise ja ajakohastamise, mida vaadatakse läbi vähemalt iga-aastase kordusvalideerimise käigus, ning kõrvaldamismeetodite ja sertifikaatide heakskiitmise kõigi aegunud andmete jaoks. Poliitika jõustab klassifitseerimisest lähtuvad säilitamisperioodid, mis on seotud ärivajaduste ja õiguslike alustega, ning keelab selgesõnaliselt tähtajatu, omanikuta või heakskiitmata andmete säilitamise. Erisätted käsitlevad varundussüsteemide ja arhiivide säilitamist, tagades kooskõla katastroofitaastekeskkonna eesmärkidega ning toetuse andmete kustutamisele taotluse alusel vastavalt GDPR-ile või muudele andmekaitseseadustele. Kõrvaldamiskontrollid jõustatakse vastavalt NIST SP 800-88-le või samaväärsetele standarditele, nõudes pöördumatuid ja dokumenteeritud hävitamismeetodeid nii digitaalsete kui ka paberandmekandjate jaoks. Õiguslik säilitamiskohustus tühistab tavapärased kustutamisgraafikud kohtuvaidluse või uurimise korral ning kõik erandid ajastatud säilitamisest nõuavad riskihindamist ja juhtkonna heakskiitu. Jõustamise ja vastavuse tegevused hõlmavad perioodilisi auditeid, vastavuskontrolle, rikkumistest teavitamist ja vajadusel distsiplinaarmeetmeid. Poliitika nõuab ka pidevat turvateadlikkuse koolitust ning rakendab intsidentidele reageerimise poliitikat (P30) mis tahes rikkumise või kõrvaldamisintsidendi korral. Poliitika perioodilise läbivaatamise ja ajakohastamise ning seotud dokumentide, nagu juurdepääsukontrolli poliitika ja varahalduspoliitikad, sünkroniseerimise kaudu tagab organisatsioon kaitstava, tõhusa ja regulatsioonidega kooskõlas oleva lähenemise andmete elutsükli juhtimisele.