Politika zadržavanja i zbrinjavanja podataka - SME

Politika zadržavanja i zbrinjavanja podataka - SME (Politika P14S) izrađena je posebno za mala i srednja poduzeća (SME), uzimajući u obzir ograničenja i specifične odgovornosti s kojima se takve organizacije suočavaju. Politika je u potpunosti prilagođena SME-u, što je vidljivo iz uključenosti glavnog izvršnog direktora kao vlasnika politike, bez pretpostavke specijaliziranih uloga kao što su Centar za sigurnosne operacije (SOC) ili glavni službenik za informacijsku sigurnost (CISO), uz istodobno osiguravanje usklađenosti s vodećim okvirima kao što su ISO/IEC 27001:2022, GDPR i povezani propisi. Primarna svrha ove politike je postaviti jasna, provediva pravila za zadržavanje i sigurno zbrinjavanje informacija, osiguravajući da se zapisi čuvaju samo onoliko dugo koliko to zahtijevaju zakon, ugovori ili poslovna potreba. Nakon ispunjenja tih zahtjeva, informacije se moraju nepovratno uništiti. Politika naglašava važnost minimiziranja pravne izloženosti i operativnog rizika sprječavanjem neovlaštenog ili suvišnog zadržavanja podataka. Također ističe koristi dobro upravljanog zadržavanja i zbrinjavanja za spremnost za reviziju, smanjenje troškova i poboljšanje performansi sustava. Za SME, politika služi kao praktično sredstvo za odgovorno upravljanje i digitalnom i papirnatom imovinom podataka, neovisno o veličini IT tima. Sveobuhvatan opseg uključuje sve vrste zapisa, poslovne dokumente, operativne log-zapise, financijske datoteke i osobne podatke te se primjenjuje na svaki medij za pohranu, od lokalnih diskova i sustava u oblaku do papirnate pohrane i sustava za sigurnosno kopiranje. Svi zaposlenici, izvođači i pružatelji usluga treće strane koji postupaju s podacima organizacije obvezni su ovom politikom. Politika pokriva svaku fazu životnog ciklusa podataka, od stvaranja do sigurnog zbrinjavanja ili uništenja. Ključna značajka je jasno razgraničenje uloga i odgovornosti. Glavni izvršni direktor daje odobrenje, osigurava usklađenost s pravnim i poslovnim rizikom te upravlja iznimkama i pravnim zadržavanjem i obustavom brisanja. Imenovani vlasnici imovine dodjeljuju se po kategoriji podataka i odgovorni su za klasifikaciju, određivanje razdoblja zadržavanja i odobravanje brisanja; također podržavaju revizijske procese. Pružatelj IT podrške ili interni voditelj IT-a zadužen je za konfiguriranje sustava za pravila zadržavanja, revizijsko bilježenje zbrinjavanja i sigurno brisanje, uključujući za sustave za sigurnosno kopiranje i arhive. Od zaposlenika i izvođača očekuje se pridržavanje politike, izbjegavanje nepravilnog zadržavanja, prijavljivanje napuštenih korisničkih računa te korištenje isključivo odobrenih sustava za pohranu podataka. Temeljni zahtjevi upravljanja usmjereni su na održavanje detaljnog Registra zadržavanja koji navodi kategorije zapisa, dodijeljena razdoblja, načine zbrinjavanja, pravno opravdanje i vlasnike podataka. Ovaj registar mora se pregledavati godišnje ili nakon relevantnih pravnih ili poslovnih okidača. Načini zbrinjavanja odabiru se na temelju klasifikacije podataka, uz primjenu sigurnih postupaka kao što su usitnjavanje na sitne čestice, kriptografsko brisanje ili fizičko uništenje medija. Pravno zadržavanje i obustava brisanja izričito su definirani; nakon primjene sprječavaju brisanje bez obzira na planirano razdoblje zadržavanja i zahtijevaju mjesečni pregled. Politika također propisuje osposobljavanje osoblja i godišnju obnovnu obuku radi osiguravanja svijesti. Iznimke su strogo kontrolirane, uz postupke za dokumentiranje, odobravanje, pregled i opravdani istek. Mehanizmi provedbe uključuju redovite revizije, nasumične provjere i stroge posljedice za kršenja, uključujući raskid ugovora ili obveze izvješćivanja u slučaju nepravilnog postupanja s osobnim podacima. U konačnici, ova politika osigurava da SME može djelovati na zakonit, revizibilan i resursno učinkovit način, čak i kada napredne uloge IT sigurnosti nisu prisutne. Namjenski je izrađena za usklađivanje s ISO/IEC 27001:2022 i zakonima o privatnosti, pružajući SME-u čvrstu osnovu za upravljanje životnim ciklusom podataka bez nepotrebne složenosti.