policy Enterprise

Tietojen säilytys- ja hävityspolitiikka

Määritä, miten organisaatiosi säilyttää ja hävittää tiedot turvallisesti keskeisten säädösten mukaisesti, suojaten tietosuojaa ja minimoiden liiketoimintariskin.

Yleiskatsaus

Tietojen säilytys- ja hävityspolitiikka määrittää organisaation vaatimukset tietojen säilyttämiselle ja tietojen turvalliselle hävittämiselle, varmistaen vaatimustenmukaisuuden lakisääteisten ja sääntelykehysten kanssa, minimoiden riskin sekä vahvistaen selkeät roolit ja hallintotavan kaikissa tiedon elinkaaren vaiheissa.

Sääntelyvaatimusten noudattaminen

Täyttää ISO/IEC 27001:2022-, GDPR-, NIS2-, DORA- ja COBIT 2019 -standardien säilytys- ja hävitysvaatimukset.

Tietojen turvallinen hävittäminen

Edellyttää peruuttamattomia ja dokumentoituja tuhoamismenetelmiä digitaalisille ja fyysisille tallenteille.

Koko tiedon elinkaaren kattavuus

Kattaa luomisen, käytön, arkistoinnin ja vaatimustenmukaisuuteen perustuvan turvallisen hävittämisen kaikille tietotyypeille.

Määritellyt roolit ja vastuut

Määrittää selkeän vastuun johdolle, IT-toiminnoille, tieto-omaisuuden omistajille, kolmansille osapuolille ja henkilöstölle.

Lue koko yleiskatsaus
Tietojen säilytys- ja hävityspolitiikka (P14) määrittää kattavat vaatimukset kaiken organisaation datan säilyttämiselle ja tietojen turvalliselle hävittämiselle koko sen elinkaaren ajan vaatimustenmukaisuuden varmistamiseksi, riskin vähentämiseksi ja toiminnan tehokkuuden tukemiseksi. Tämä politiikka koskee koko organisaatiota ja ulottuu jokaiseen yrityksen omistamaan, käsittelemään tai säilyttämään fyysiseen ja digitaaliseen tietovarallisuuserään, mukaan lukien kolmansien osapuolten, tytäryhtiöiden ja ulkoistuskumppaneiden hallinnoimat omaisuuserät. Kattavuus ulottuu digitaalisista tiedostoista, tietokannoista, sähköposteista ja varmuuskopiointijärjestelmistä paperitallenteisiin ja käytöstä poistettuun laitteistoon. P14-politiikan ensisijainen tarkoitus on määrittää tiukat hallintakeinot sille, kuinka kauan dataa säilytetään lakisääteisten, sääntelyyn liittyvien ja operatiivisten tarpeiden perusteella, sekä varmistaa sen pysyvä ja turvallinen poistaminen, kun sitä ei enää tarvita. Selkeiden säilytysaikataulujen ja tiukkojen hävitysmenettelyjen avulla politiikka tukee ISO/IEC 27001:2022 -vaatimuksia, mahdollistaa jäljitettävän tallenteiden hallinnan ja suojaa luottamuksellisuus-, eheys- ja saatavuusperiaatteita. Politiikka auttaa myös ehkäisemään tarpeetonta datan kertymistä, joka voi johtaa tietosuojaloukkauksiin, tehottomuuksiin tai kasvaneeseen liiketoimintariskiin. Roolit ja vastuut on määritelty selkeästi: toimitusjohtaja hyväksyy ja valvoo vaatimustenmukaisuutta; tietoturvajohtaja (CISO) omistaa, määrittää ja seuraa politiikan toteutusta; tietosuojavastaava (DPO) neuvoo tietosuojassa ja validoi henkilötietojen käsittelyä; ja tieto-omaisuuden omistajat varmistavat, että aikataulut ovat perusteltuja ja valtuutettuja. IT-toiminnot vastaavat teknologisten hallintakeinojen toteuttamisesta, ja kaikki työntekijät, urakoitsijat sekä asiaankuuluvat kolmannen osapuolen palveluntarjoajat ovat velvollisia noudattamaan säilytys- ja hävitysohjeita. Ulkoistetut toimittajat ja pilvipalveluntarjoajat ovat velvollisia noudattamaan sopimuksen tietoturvalausekkeita ja toimittamaan hävitystä koskevan auditointinäytön pyynnöstä. Hallintotapavaatimukset edellyttävät Master Data Retention Schedule (MDRS) -dokumentin laatimista ja ylläpitoa, sen katselmointia vähintään vuosittain sekä hävitysmenetelmien ja -todistusten hyväksymistä kaikelle vanhentuneelle datalle. Politiikka edellyttää luokitteluun perustuvia säilytysaikoja, jotka sidotaan liiketoimintatarpeisiin ja oikeusperusteisiin, ja se kieltää nimenomaisesti toistaiseksi jatkuvan, orvon tai hyväksymättömän datan säilyttämisen. Erityismääräykset koskevat varmuuskopioiden ja arkistojen säilyttämistä, varmistaen linjauksen katastrofipalautusympäristön tavoitteisiin sekä tuen tietojen poistamiselle pyynnöstä GDPR:n tai muiden tietosuojalakien mukaisesti. Hävityskontrollit toteutetaan NIST SP 800-88:n tai vastaavien standardien mukaisesti, edellyttäen peruuttamattomia ja dokumentoituja tuhoamismenetelmiä sekä digitaalisille että paperisille tallennusvälineille. Oikeudellinen säilytys ja poistamisen keskeyttäminen ohittaa normaalit poistamisaikataulut oikeudenkäynnin tai tutkinnan yhteydessä, ja kaikki poikkeukset aikataulutettuun säilyttämiseen edellyttävät riskien arviointitoimenpidettä sekä johdon hyväksyntää. Täytäntöönpano- ja vaatimustenmukaisuustoimet sisältävät säännölliset auditoinnit, vaatimustenmukaisuustarkastukset, rikkomusten raportoinnin ja kurinpitotoimenpiteet tarpeen mukaan. Politiikka edellyttää myös jatkuvaa henkilöstön tietoturvatietoisuuskoulutustoimintaa ja viittaa Tietoturvapoikkeamiin reagoinnin politiikkaan (P30) kaikissa tapauksissa, joissa virheellinen hävittäminen johtaa mahdolliseen tietojen menetykseen, tietoturvaloukkaukseen tai sääntelyrikkomukseen. Politiikan säännöllisellä katselmoinnilla ja päivittämisellä sekä linkitettyjen dokumenttien, kuten pääsynhallintapolitiikan ja omaisuudenhallintapolitiikan, synkronoinnilla organisaatio varmistaa puolustettavan, tehokkaan ja sääntelyn mukaisen lähestymistavan tiedon elinkaaren hallintotapaan.

Käytäntökaavio

Tietojen säilytys- ja hävityspolitiikka -kaavio, joka havainnollistaa tiedon elinkaaren vaiheet, luokitteluun perustuvat säilytysaikataulut, automatisoidut hallintakeinot ja turvallisen tuhoamisen työnkulut.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Soveltamisala ja toimintaperiaatteet

Master Data Retention Schedule (MDRS) -hallintotapa

Säilytys- ja hävitysprosessit digitaaliselle ja fyysiselle datalle

Oikeudellinen säilytys ja poistamisen keskeyttäminen sekä poikkeusten hallinta

Varmuuskopio- ja arkistodatan käsittely

Kolmansien osapuolten ja toimittajien hävityskontrollit

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.105.125.30
NIST SP 800-53 Rev.5
AU-11MP-6SI-12PL-2
EU GDPR
5(1)(e)1732
EU NIS2
21(2)(a-e)
EU DORA
59
COBIT 2019
DSS01DSS05MEA03

Liittyvät käytännöt

Pääsynhallintapolitiikka

Varmistaa, että vain valtuutetut henkilöt pääsevät dataan sen säilytysajan aikana ja että vanhentunut data rajoitetaan odottamaan hävittämistä.

Omaisuudenhallintapolitiikka

Tunnistaa, mitkä omaisuuserät sisältävät aikataulutettua hävittämistä edellyttävää dataa, ja seuraa niiden elinkaarta hankinnasta tuhoamiseen.

Tietojen luokittelu- ja merkintäpolitiikka

Ohjaa luokittelupäätöksiä, jotka vaikuttavat suoraan siihen, kuinka kauan dataa säilytetään ja mitä hävitysmenetelmää edellytetään.

Varmuuskopiointi- ja palautuspolitiikka

Määrittää säilytysajat ja hävitysmenettelyt varmuuskopiomediaa ja replikoituja tietovarallisuuseriä varten.

Kryptografisten hallintakeinojen politiikka

Tukee kryptografista poistamista hävittämisessä ja edellyttää salaus-toimenpiteitä datan säilytyksen aikana aina tuhoamiseen saakka.

Tietoturvapoikkeamiin reagoinnin politiikka (P30)

Aktivoidaan tapauksissa, joissa virheellinen hävittäminen johtaa mahdolliseen tietojen menetykseen, tietoturvaloukkaukseen tai sääntelyrikkomukseen.

Tietoa Clarysecin käytännöistä - Tietojen säilytys- ja hävityspolitiikka

Tehokas tietoturvan hallinto edellyttää enemmän kuin pelkkiä kirjauksia; se vaatii selkeyttä, vastuunjakoa ja rakennetta, joka skaalautuu organisaatiosi mukana. Yleiset mallipohjat epäonnistuvat usein ja luovat epäselvyyttä pitkien kappaleiden ja määrittelemättömien roolien vuoksi. Tämä politiikka on suunniteltu tietoturvaohjelmasi operatiiviseksi selkärangaksi. Määritämme vastuut nykyaikaisessa organisaatiossa esiintyville rooleille, mukaan lukien tietoturvajohtaja (CISO), IT- ja tietoturvatiimit sekä asiaankuuluvat ohjausryhmät, varmistaen selkeän vastuuvelvollisuuden. Jokainen vaatimus on yksilöllisesti numeroitu lauseke (esim. 5.1.1, 5.1.2). Tämä atominen rakenne tekee politiikasta helpon ottaa käyttöön, auditoida yksittäisiä hallintakeinoja vasten ja räätälöidä turvallisesti vaikuttamatta asiakirjan eheyteen, muuttaen sen staattisesta dokumentista dynaamiseksi, toimeenpantavaksi viitekehykseksi.

Master Data Retention Schedule

Kartoittaa jokaisen tietotyypin säilytysajan, omistajan, oikeusperusteen ja hävitysmenetelmän jäljitettävää ja auditoitavaa politiikkojen noudattamista varten.

Automaattiset elinkaarikontrollit

Edellyttää järjestelmäohjattua merkintää, aikataulutettua poistamista ja automaattisia hälytystoimintoja tehokasta käyttöoikeuksien elinkaaren hallinnan toteutusta ja prosessin eheyttä varten.

Poikkeus- ja oikeudellisen säilytyksen ohjeistus

Integroi dokumentoidun poikkeuspyyntöprosessimenettelyn, oikeudellisen säilytyksen ja poistamisen keskeyttämisen protokollat sekä vuosittaisen katselmoinnin sääntely- ja operatiivista joustavuutta varten.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

IT-toiminnot Tietoturva Vaatimustenmukaisuus Sisäinen tarkastus laki- ja vaatimustenmukaisuus

🏷️ Aiheen kattavuus

tietojen luokittelu dokumentaatio politiikkojen elinkaaren hallinta vaatimustenmukaisuuden jatkuva seuranta
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset
Data Retention and Disposal Policy

Tuotetiedot

Tyyppi: policy
Luokka: Enterprise
Standardit: 7