Politika zadržavanja i zbrinjavanja podataka

Politika zadržavanja i zbrinjavanja podataka (P14) uspostavlja sveobuhvatne zahtjeve za zadržavanje i sigurno zbrinjavanje svih organizacijskih podataka tijekom njihova životnog ciklusa kako bi se osigurala usklađenost, smanjio rizik i podržala operativna učinkovitost. Ova se politika primjenjuje na razini cijele organizacije te obuhvaća svu fizičku i digitalnu informacijsku imovinu koju društvo posjeduje, obrađuje ili zadržava, uključujući onu kojom upravljaju treće strane, podružnice i partneri za vanjski ugovorene usluge. Obuhvaćena imovina uključuje digitalne datoteke, baze podataka, e-poštu i sustave za sigurnosno kopiranje, kao i papirnate zapise i hardver stavljen izvan pogona. Primarna svrha politike P14 jest definirati stroge kontrole za to koliko se dugo podaci čuvaju na temelju pravnih, regulatornih i operativnih potreba te osigurati njihovo trajno, sigurno brisanje kada više nisu potrebni. Provođenjem jasnih rasporeda zadržavanja podataka i rigoroznih postupaka zbrinjavanja, politika podržava zahtjeve ISO/IEC 27001:2022, omogućuje sljedivo upravljanje zapisima i štiti povjerljivost, cjelovitost i dostupnost podataka. Važno je da politika pomaže organizaciji spriječiti nepotrebno gomilanje podataka koje može dovesti do povreda privatnosti, neučinkovitosti ili povećanog poslovnog rizika. Uloge i odgovornosti jasno su razgraničene u politici: Izvršni menadžment odobrava i nadzire usklađenost; glavni službenik za informacijsku sigurnost (CISO) je vlasnik, definira i prati provedbu politike; službenik za zaštitu podataka (DPO) savjetuje o privatnosti i validira postupanje s osobnim podacima; a vlasnici informacijske imovine osiguravaju da su rasporedi opravdani i odobreni. IT timovi odgovorni su za provedbu tehnoloških kontrola, dok su svi zaposlenici, izvođači i relevantne treće strane obvezni slijediti upute o zadržavanju i zbrinjavanju. Vanjski dobavljači i pružatelji usluga u oblaku moraju se pridržavati ugovornih sigurnosnih klauzula i na zahtjev dostaviti revizijske dokaze o zbrinjavanju. Zahtjevi upravljanja propisuju izradu i održavanje Glavnog rasporeda zadržavanja podataka (MDRS), koji se preispituje najmanje jednom godišnje, te odobravanje metoda zbrinjavanja i potvrda za sve podatke kojima je istekao rok. Politika provodi razdoblja zadržavanja temeljena na klasifikaciji, povezana s poslovnim potrebama i pravnim osnovama, te izričito zabranjuje neograničeno, napušteno ili neodobreno zadržavanje podataka. Posebne odredbe odnose se na zadržavanje sigurnosnih kopija i arhiva, osiguravajući usklađenost s ciljevima okruženja za oporavak od katastrofe i podršku za brisanje podataka na zahtjev prema GDPR-u ili drugim zakonima o privatnosti. Kontrole zbrinjavanja provode se prema NIST SP 800-88 ili ekvivalentnim standardima, nalažući nepovratne i dokumentirane metode uništavanja za digitalne i papirnate medije. Pravno zadržavanje i obustava brisanja nadjačavaju uobičajene rasporede brisanja u slučaju sudskog spora ili istrage, a sve iznimke od planiranog zadržavanja zahtijevaju procjenu rizika i odobrenje uprave. Aktivnosti provedbe i usklađenosti uključuju periodične revizije, provjere usklađenosti, prijavljivanje kršenja i disciplinske mjere prema potrebi. Politika također zahtijeva kontinuiranu obuku o sigurnosnoj svijesti osoblja i poziva se na Politiku odgovora na incidente (P30) za svaku povredu ili incident zbrinjavanja. Periodičnim preispitivanjem i ažuriranjem politike te usklađivanjem povezanih dokumenata poput Politike kontrole pristupa i politike upravljanja imovinom, organizacija osigurava obrambeni, učinkovit i s propisima usklađen pristup upravljanju životnim ciklusom podataka.