policy ISO 27701 PIMS Policy Pack

Isikut tuvastava teabe säilitamise, kustutamise ja kõrvaldamise poliitika

Määratlege isikut tuvastava teabe säilitamise, kustutamise ja kõrvaldamise kontrollimeetmed koos tõendusmaterjaliks valmisoleva juhtimisega süsteemides, varukoopiates, volitatud töötlejate juures ja erandites.

Ülevaade

See poliitika määratleb, kuidas juhitakse ja tõendatakse isikut tuvastava teabe säilitamist, kustutamist, anonüümimist, identifitseerimatuks muutmist, tagastamist, edastamist ja kõrvaldamist. Seda kohaldatakse vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides ning see hõlmab aktiivkasutuses süsteeme, varukoopiaid, arhiive, logisid, ajutisi faile, paberkirjeid ja salvestuskandjaid.

Säilitamisreeglid enne kasutamist

Nõuab enne heakskiitmist REG02-s dokumenteeritud perioode, käivitajaid, omanikke, põhjendusi, lõppkäitlust ja läbivaatamise kuupäevi.

Kontrollitud lõppkäitlus

Hõlmab kustutamist, tagastamist, edastamist, anonüümimist, identifitseerimatuks muutmist ja turvalist kõrvaldamist aktiivkasutuses olevates andmetes, arhiivides ja varukoopiates.

Volitatud töötlejate kooskõlastamine

Nõuab kliendi juhiseid, alltöötlejatele edasiantavaid kohustusi ja lõppkäitluse tõendusmaterjali REG08-s.

Loe täielikku ülevaadet (click to expand)
Isikut tuvastava teabe säilitamise, kustutamise ja kõrvaldamise poliitika kehtestab organisatsiooni nõuded isikut tuvastava teabe säilitamise, kustutamise, anonüümimise, identifitseerimatuks muutmise, tagastamise, edastamise ja kõrvaldamise määratlemiseks, läbivaatamiseks, teostamiseks ja tõendamiseks. Selle keskne eesmärk on tagada, et isikut tuvastavat teavet säilitatakse ainult heaks kiidetud eesmärkidel ja perioodidel, see kustutatakse või kõrvaldatakse muul viisil, kui seda enam ei vajata, ning seda toetab auditiks valmis tõendusmaterjal. Poliitikat kohaldatakse vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides, arvestades, et säilitamise ja lõppkäitluse kohustused võivad tuleneda heaks kiidetud töötlemise eesmärkidest, õigusliku aluse kirjetest, vastutava töötleja juhistest, lepingulistest nõuetest, isikuandmesubjekti kustutamise tulemustest, teenuse lõpetamisest, salvestuskandjate kõrvaldamisest ja PIMS-i seire leidudest. Poliitika on operatiivse suunitlusega ja nõuab, et säilitamise juhtimine oleks integreeritud PIMS-i kanonilistesse tõendusmaterjali kirjetesse, mitte hoitud eraldi kustutamisregistris. Vastutava töötleja töötlemistoimingutel peab enne töötlemise algust olema REG02-s määratud dokumenteeritud säilitamisreegel. Kaasvastutava töötleja vastutused registreeritakse REG02-s ja REG08-s, samas kui volitatud töötleja ja alltöötleja säilitamise, tagastamise, edastamise ja kustutamise juhiseid hallatakse REG08-s. Heaks kiidetud säilitamisreeglid peavad sisaldama säilitamisperioodi, alguskäivitajat, omanikku, põhjendust, lõppkäitlust ja järgmise läbivaatamise kuupäeva. Poliitika nõuab ka andmekaitseametniku või andmekaitsenõustaja nõu enne selliste säilitamisreeglite heakskiitmist, mis hõlmavad õiguslikku konflikti, kõrge riskiga töötlemist, eriliiki isikut tuvastavat teavet või säilitamist pärast algse töötlemise eesmärgi lõppemist. Täitmisnõuded hõlmavad kogu isikut tuvastava teabe elutsüklit. Süsteemiomanik / rakenduse omanik peab teostama või ajastama heaks kiidetud kustutamise, tagastamise, edastamise, anonüümimise, identifitseerimatuks muutmise või kõrvaldamise asjakohase säilitamisreegli jaoks registreeritud kustutamise ajavahemiku jooksul. Poliitika eristab aktiivkasutuses süsteeme, arhiive, varukoopiaid, koopiaid, logisid, vahealasid ja ajutisi faile ning nõuab, et need andmehoidlad tuvastataks REG02-s enne tootmiskeskkonda kasutuselevõttu ja iga-aastase säilitamise läbivaatamise käigus. Samuti nõuab see varukoopiate säilitamise ajavahemike ja taastamisejärgse kustutamise käsitlemise dokumenteerimist ning aegunud kustutamis- või piirangutoimingute uuesti rakendamist taastatud varundusandmetele enne taastatud keskkonna ärikasutusse vabastamist. Isikut tuvastavat teavet sisaldavad ajutised failid ja vahekeskkonna koopiad tuleb pärast seotud töötlemisülesande lõppu dokumenteeritud REG02 perioodi jooksul kustutada või kõrvaldada. Poliitika käsitleb ka turvalist kõrvaldamist, anonüümimist, identifitseerimatuks muutmist, erandite kontrolli ja seiret. Isikut tuvastavat teavet sisaldavate või sisaldada võivate salvestuskandjate kõrvaldamismeetodi klassid peab infoturbe juht REG12-s heaks kiitma enne taaskasutust, väljastamist, hävitamist või välist kõrvaldamist. Anonüümimist või identifitseerimatuks muutmist võib kasutada säilitamisriski vähendamise meetmena või lõppkäitluse tulemusena, kuid see peab olema dokumenteeritud REG02-s ja heaks kiidetud privaatsusvaldkonna juhi / PIMS-i juhi poolt enne, kui tuvastatav isikut tuvastav teave säilitatakse pärast selle eesmärgi või säilitamisperioodi lõppu. Heaks kiidetud säilitamisreeglite erandid tuleb enne aktiveerumist esitada ja heaks kiita REG12-s ning neid tuleb kuni sulgemiseni igakuiselt läbi vaadata. Mõõdikuid, nagu täielikud säilitamise metaandmed, tähtaja ületanud läbivaatamised, tähtaja ületanud elutsükli tegevused ja tähtaja ületanud lõppkäitluse tõendusmaterjal, mõõdetakse määratud intervallidega, samas kui mittevastavused, auditileiud ja parandusmeetmed seotakse REG12-ga, et toetada pidevat täiustamist.

Poliitika diagramm

Protsessi vooskeem, mis näitab isikut tuvastava teabe säilitamise juhtimist alates säilitamisreegli määramisest REG02-s, iga-aastasest läbivaatamisest ja tehnilisest rakendamisest kuni kustutamise, tagastamise, edastamise, anonüümimise või kõrvaldamiseni, koos REG08 volitatud töötleja tõendusmaterjali, REG12 erandite ja parandusmeetmete ning REG10 intsidendi eskaleerimisega, kui tõrked vastavad isikut tuvastava teabega seotud intsidendi kriteeriumidele.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Säilitamisreegli omamine ja nõutavad metaandmed

Kustutamise, tagastamise, edastamise ja kõrvaldamise teostamine

Varukoopiad, arhiivid, koopiad, logid ja ajutised failid

Anonüümimine, identifitseerimatuks muutmine ja säilitamise minimeerimine

Erandid, mittevastavused ja parandusmeetmed

Mõõdikud, auditivalimid ja poliitika haldus

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 29100:2020
Clause 5.5Clause 5.6Clause 5.10
ISO/IEC 29151:2022
Annex A.7Annex A.7.2
EU GDPR
Article 5(1)(e)Article 5(2)Article 17Article 24Article 26Article 28Article 30Article 32
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.8Annex A.1.2.9Annex A.1.3.7Annex A.1.3.8Annex A.1.4.6Annex A.1.4.7Annex A.1.4.8Annex A.1.4.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.3.20Annex A.3.21Annex A.3.24
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 7.2Clause 7.3Clause 8.3Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7Clause 10.1Clause 10.2Clause 10.3
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 5.4.1
ISO/IEC 27002:2022
Control 7.14Control 8.10

Seotud poliitikad

Isikuandmesubjekti õiguste haldamise poliitika

Heaks kiidetud kustutamistaotlused käivitavad kustutamise hindamise REG06-s ja REG02-s selle säilitamispoliitika alusel.

Volitatud töötleja, alltöötleja ja kolmanda osapoole privaatsuse haldamise poliitika

Volitatud töötleja, alltöötleja ja kolmanda osapoole tagastamise, edastamise, kustutamise ja kõrvaldamise tõendusmaterjali hallatakse REG08 kaudu.

Turbe- ja juurdepääsukontrolli poliitika

Turvalise kõrvaldamismeetodi klassid, salvestuskandjate käitlemine ja tehniline rakendamine sõltuvad turbekontrollidest.

Intsidendi- ja rikkumishalduse poliitika

Säilitamise, kustutamise või kõrvaldamise tõrked, mis vastavad isikut tuvastava teabega seotud intsidendi kriteeriumidele, nõuavad REG10 käsitlemist.

PIMS-i seire, auditi ja parendamise poliitika

Säilitamise mõõdikud, tõendusmaterjali valimid, mittevastavused ja parandusmeetmed on integreeritud seire ja parendamisega.

Töötlemise registri ja õigusliku aluse poliitika

Säilitamisreeglid ja lõppkäitluse metaandmed registreeritakse isikut tuvastava teabe töötlemise registris / ROPA-s.

Claryseci poliitikate kohta - Isikut tuvastava teabe säilitamise, kustutamise ja kõrvaldamise poliitika

Isikut tuvastava teabe säilitamise, kustutamise ja kõrvaldamise poliitika muudab säilitamise piiramise auditeeritavaks toimimismudeliks. See nõuab, et säilitamisreeglid määratletakse enne töötlemise algust, registreeritakse REG02-s, viiakse kooskõlla vastutava töötleja või kliendi juhistega ning vaadatakse läbi vähemalt kord aastas või pärast olulist muudatust. Poliitika hõlmab kustutamist, tagastamist, edastamist, anonüümimist, identifitseerimatuks muutmist ja turvalist kõrvaldamist aktiivkasutuses süsteemides, arhiivides, varukoopiates, koopiates, logides, vahealadel, ajutistes failides, paberkirjetes ja salvestuskandjatel. See määratleb ka juhtimisrollid, volitatud töötleja ja alltöötleja tõendusmaterjali nõuded, erandite käsitlemise REG12-s, intsidendi eskaleerimise REG10 kaudu, kui see on kohaldatav, ning mõõdikupõhise seire pidevaks täiustamiseks.

Määratletud säilitamise metaandmed

Nõuab enne heakskiitmist perioodi, käivitajat, omanikku, põhjendust, lõppkäitlust ja järgmise läbivaatamise kuupäeva.

Turvalise kõrvaldamise kontrollimeetmed

Nõuab heaks kiidetud kõrvaldamismeetodi klasse enne isikut tuvastavat teavet sisaldavate andmekandjate taaskasutust, väljastamist, hävitamist või välist kõrvaldamist.

Varukoopiate ja arhiivide käsitlemine

Kohaldab säilitamisreegleid arhiividele ning dokumenteerib varundamise ajavahemikud, taastamise käsitlemise ja tehnilised piirangud.

Tarnija tõendusmaterjal

Nõuab volitatud töötleja, alltöötleja ja välise teenuse tõendusmaterjali tagastamise, edastamise, kustutamise ja kõrvaldamise tegevuste kohta.

Erandite halduskorraldus

Nõuab ajaliselt piiratud heaks kiidetud erandeid koos omanike, aegumiskuupäevade, kompenseerivate kontrollimeetmete ja igakuise läbivaatamisega.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Privaatsus õigus vastavus IT-turve andmekaitseametniku büroo

🏷️ Temaatiline katvus

Andmete säilitamine ja kõrvaldamine töötlemistoimingute kirjed andmesubjekti õiguste haldus vastutava töötleja ja volitatud töötleja vastutused kolmandate osapoolte haldus vastavuse haldus riskijuhtimine
€79

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
PII Retention, Deletion and Disposal Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 7