policy SME

Tietojen säilytys- ja hävityspolitiikka – pk-yrityksille

Varmista vaatimustenmukainen ja turvallinen tietojen säilytys ja hävittäminen tällä pk-yrityksille suunnatulla politiikalla, joka on linjassa ISO 27001:n, GDPR:n ja muiden vaatimusten kanssa auditointivalmiin tiedonhallinnon tueksi.

Yleiskatsaus

Tämä pk-yrityksille tarkoitettu tietojen säilytys- ja hävityspolitiikka määrittää säännöt kaiken liiketoiminta- ja henkilötiedon säilyttämiselle ja turvalliselle hävittämiselle, osoittaa selkeät vastuut ja yhdenmukaistaa prosessit ISO/IEC 27001:n, GDPR:n ja niihin liittyvien standardien kanssa. Se varmistaa vaatimustenmukaisuuden, auttaa hallitsemaan oikeudellista riskiä ja tukee tehokasta tiedonhallintaa organisaatioissa, joilla ei ole omistautuneita tietoturvatiimejä.

Sääntelyvaatimusten noudattaminen

Varmistaa, että tietojen säilytys ja hävittäminen on linjassa ISO 27001:n, GDPR:n, NIS2:n ja muiden keskeisten standardien kanssa.

Pk-yrityksille sopivat roolit

Suunniteltu pk-yrityksille: vastuut määritetään ilman tarvetta erikoistuneille IT- ja tietoturvatiimeille.

Turvallinen elinkaaren hallinta

Ohjaa henkilöstöä turvalliseen säilytykseen, poistamiseen ja hävittämiseen kaikissa tietomuodoissa ja tallennusvälineissä.

Auditointivalmis viitekehys

Tukee vuosittaisia katselmointeja, kattavaa dokumentaatiota ja auditointiystävällisiä säilytyskontrolleja.

Lue koko yleiskatsaus
Tietojen säilytys- ja hävityspolitiikka – pk-yrityksille (politiikka P14S) on laadittu erityisesti pienille ja keskisuurille yrityksille (pk-yrityksille), huomioiden niiden rajoitteet ja erityiset vastuut. Politiikka on mukautettu pk-yrityksille siten, että toimitusjohtaja toimii politiikan omistajana ilman oletusta erikoistuneista rooleista, kuten tietoturvaoperaatiokeskus (SOC) tai tietoturvajohtaja (CISO), samalla varmistaen vaatimustenmukaisuuden johtavien viitekehysten, kuten ISO/IEC 27001:2022:n, GDPR:n ja niihin liittyvien sääntelyvaatimusten kanssa. Politiikan ensisijainen tarkoitus on asettaa selkeät, täytäntöönpantavat säännöt tiedon säilyttämiselle ja turvalliselle hävittämiselle siten, että tallenteita säilytetään vain niin kauan kuin laki, sopimukset tai liiketoiminnan tarve edellyttävät. Kun vaatimukset täyttyvät, tiedot on tuhottava peruuttamattomasti. Politiikka korostaa oikeudellisen altistumisen ja operatiivisen riskin minimointia estämällä luvattoman tai tarpeettoman tietojen säilyttämisen. Se tuo esiin myös hyvin hallinnoidun säilytyksen ja hävittämisen hyödyt auditointivalmiudelle, kustannusten vähentämiselle ja järjestelmien suorituskyvyn parantamiselle. Pk-yrityksille politiikka tarjoaa käytännöllisen tavan hallita vastuullisesti sekä digitaalisia että paperisia tieto-omaisuuseriä IT-tiimin koosta riippumatta. Kattava soveltamisala sisältää kaikki tallennetyypit, liiketoiminta-asiakirjat, operatiiviset lokit, taloustiedostot ja henkilötiedot, ja se koskee kaikkia tallennusvälineitä paikallisista levyasemista ja pilvijärjestelmistä paperiarkistointiin ja varmuuskopioihin. Kaikki työntekijät ja urakoitsijat sekä kolmannen osapuolen palveluntarjoajat, jotka käsittelevät organisaation tietoja, ovat tämän politiikan sitomia. Politiikka kattaa tiedon elinkaaren kaikki vaiheet luomisesta turvalliseen hävittämiseen tai tuhoamiseen. Keskeinen ominaisuus on roolien ja vastuiden selkeä määrittely. Toimitusjohtaja hyväksyy politiikan, varmistaa yhdenmukaisuuden oikeudellisten ja liiketoimintariskien kanssa sekä käsittelee poikkeukset ja oikeudellisen säilytyksen ja poistamisen keskeyttämisen -tilanteet. Nimetyt tieto-omaisuuden omistajat osoitetaan tietoluokittain ja he vastaavat luokittelusta, säilytysaikojen määrittämisestä ja poistojen valtuuttamisesta; he tukevat myös auditointiprosesseja. IT-tukipalveluntarjoaja tai sisäinen IT-vastaava vastaa järjestelmien konfiguroinnista säilytyssääntöjä, hävityslokitusta ja turvallista pyyhintää varten, mukaan lukien varmuuskopiot ja arkistot. Työntekijöiden ja urakoitsijoiden odotetaan noudattavan politiikkaa, välttävän virheellistä säilyttämistä, raportoivan orvot käyttäjätilit ja käyttävän vain hyväksyttyjä järjestelmiä tietojen tallentamiseen. Hallintotavan ydinkäytännöt perustuvat yksityiskohtaisen säilytysrekisterin ylläpitoon, jossa luetellaan tallenneluokat, määritetyt säilytysajat, hävitysmenetelmät, oikeudellinen perustelu ja tieto-omaisuuden omistajat. Rekisteri on katselmoitava vuosittain tai olennaisten oikeudellisten tai liiketoiminnallisten herätteiden yhteydessä. Hävitysmenetelmät valitaan tietojen luokittelun perusteella käyttäen turvallisia menettelyjä, kuten ristiinleikkaavaa silppuamista, kryptografista pyyhintää tai tallennusvälineiden fyysistä tuhoamista. Oikeudellinen säilytys ja poistamisen keskeyttäminen kuvataan nimenomaisesti: kun se on asetettu, se estää poistamisen riippumatta aikataulutetusta säilytysajasta ja edellyttää kuukausittaista katselmointia. Politiikka edellyttää myös henkilöstön koulutusta ja vuosittaisia kertauskoulutuksia tietoisuuden varmistamiseksi. Poikkeuksia hallitaan tiukasti dokumentoinnin, hyväksynnän, katselmoinnin ja perustellun päättymisen prosesseilla. Täytäntöönpanomekanismeihin kuuluvat säännölliset auditoinnit, pistokokeet sekä tiukat seuraamukset rikkomuksista, mukaan lukien sopimuksen päättäminen tai sääntelyraportointi henkilötietojen virheellisen käsittelyn tapauksissa. Kokonaisuutena politiikka varmistaa, että pk-yritys voi toimia lainmukaisesti, auditoitavasti ja resurssitehokkaasti myös silloin, kun edistyneitä IT-tietoturvaroolleja ei ole. Se on tarkoituksenmukaisesti yhdenmukaistettu ISO/IEC 27001:2022:n ja tietosuojalainsäädännön kanssa ja tarjoaa pk-yrityksille vahvan perustan tiedon elinkaaren hallintaan ilman tarpeetonta monimutkaisuutta.

Käytäntökaavio

Tietojen säilytys- ja hävityspolitiikan kaavio, joka esittää tiedon elinkaaren hallinnan vaiheet, mukaan lukien luokittelu, säilytysaikojen määrittäminen, turvalliset hävitysmenettelyt ja vuosittaiset katselmoinnit.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja katetut tietoluokat

Säilytysrekisterin hallintotapa

Roolit: toimitusjohtaja, tieto-omaisuuden omistaja, IT-vastaava

Turvallisen hävittämisen menetelmät

Varmuuskopioiden säilytys ja hävittäminen

Riski-, poikkeus- ja auditointimekanismit

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.33
NIST SP 800-53 Rev.5
AU-11MP-6SI-12
EU NIS2
Article 21(2)(a)
EU DORA
Article 5(1)
COBIT 2019
BAI03.04DSS01.06
EU GDPR
Article 5(1)(e)Article 17

Liittyvät käytännöt

Hallintotavan roolit ja vastuut -politiikka – pk-yrityksille

Määrittää politiikan omistajuuden ja toimivallan poikkeuksia varten.

Tietojen luokittelu- ja merkintäpolitiikka – pk-yrityksille

Määrittää, miten säilytyssäännöt yhdenmukaistetaan tietojen luokittelun kanssa.

Omaisuudenhallintapolitiikka – pk-yrityksille

Ohjaa tallennusvälineitä, jotka sisältävät säilytys-/hävitysvaatimusten alaisia tietoja.

Tietosuoja- ja yksityisyyspolitiikka – pk-yrityksille

Varmistaa tietosuojan ja tietojen minimoinnin ja tukee tietojen lainmukaista käsittelyä GDPR:n mukaisesti.

Tietoturvapoikkeamiin reagoinnin politiikka (P30) – pk-yrityksille

Aktivoituu, kun hävittämisen tai säilytyksen epäonnistumiset johtavat mahdolliseen ulkoiseen altistumiseen.

Tietoa Clarysecin käytännöistä - Tietojen säilytys- ja hävityspolitiikka – pk-yrityksille

Yleiset tietoturvapolitiikat on usein rakennettu suuryrityksille, jolloin pienyritykset joutuvat soveltamaan monimutkaisia sääntöjä ja epäselviä rooleja. Tämä politiikka on erilainen. Pk-yrityspolitiikkamme on suunniteltu alusta alkaen käytännön toteutukseen organisaatioissa, joilla ei ole omistautuneita tietoturvatiimejä. Osoitamme vastuut rooleille, joita teillä oikeasti on, kuten toimitusjohtajalle ja IT-palveluntarjoajalle, emme erikoisasiantuntijoiden joukolle. Jokainen vaatimus on jaettu yksilöllisesti numeroituun lausekkeeseen (esim. 5.2.1, 5.2.2). Tämä muuttaa politiikan selkeäksi, vaiheittaiseksi tarkistuslistaksi, mikä helpottaa käyttöönottoa, auditointia ja räätälöintiä ilman kokonaisten osioiden uudelleenkirjoittamista.

Säilytysrekisterin rakenne

Käyttää rakenteista rekisteriä säilytysaikojen, oikeusperustan ja hävitysmenetelmien dokumentointiin jokaiselle tietoluokalle.

Pakotettu oikeudellinen säilytys ja poistamisen keskeyttäminen

Sisäänrakennettu prosessi oikeudellisen säilytyksen ja poistamisen keskeyttämisen -tilanteisiin, jotta tallenteet suojataan poistamiselta oikeudenkäynnin, auditointien tai tutkinnan aikana.

Automaattinen ja manuaalinen täytäntöönpano

Tukee säilytystä ja hävittämistä konfiguroitavalla automaatiolla sekä manuaalisilla tarkistuksilla rajallisissa järjestelmissä.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT turvallisuus vaatimustenmukaisuus auditointi laki- ja vaatimustenmukaisuus

🏷️ Aiheen kattavuus

tietojen luokittelu tietojen käsittely vaatimustenmukaisuuden hallinta tietosuoja lakisääteiset velvoitteet dokumentoitu tieto
€29

Kertaosto

Välitön lataus
Elinikäiset päivitykset
Data Retention and Disposal Policy - SME

Tuotetiedot

Tyyppi: policy
Luokka: SME
Standardit: 7