policy SME

Adatmegőrzési és selejtezési szabályzat – KKV

Biztosítsa a jogszabályi megfelelésnek megfelelő, biztonságos adatmegőrzést és selejtezést ezzel a KKV-szabályzattal, összhangban az ISO 27001, a GDPR és további követelményekkel az auditkész információirányítás érdekében.

Áttekintés

Ez a KKV-k számára készült Adatmegőrzési és selejtezési szabályzat meghatározza az üzleti és személyes adatok megőrzésének és biztonságos selejtezésének szabályait, egyértelmű felelősségeket rendel, és a folyamatokat az ISO/IEC 27001, a GDPR és kapcsolódó szabványok követelményeihez igazítja. Biztosítja a megfelelést, segít a jogi kockázatok kezelésében, és támogatja a hatékony információirányítást olyan szervezetekben, ahol nincs dedikált biztonsági csapat.

Jogszabályi megfelelés

Biztosítja, hogy az adatmegőrzés és selejtezés összhangban legyen az ISO 27001, a GDPR, a NIS2 és más főbb szabványok követelményeivel.

KKV-barát szerepkörök

KKV-k számára tervezve, a felelősségek kijelölésével anélkül, hogy speciális IT- és információbiztonsági csapatokat feltételezne.

Biztonságos életciklus-kezelés

Végigvezeti a munkatársakat az összes adatformátum és adathordozó biztonságos megőrzésén, törlésén és selejtezésén.

Auditkész keretrendszer

Támogatja az éves felülvizsgálatokat, az alapos dokumentációt és az auditbarát megőrzési kontrollokat.

Teljes áttekintés olvasása
Az Adatmegőrzési és selejtezési szabályzat – KKV (P14S szabályzat) kifejezetten kis- és középvállalkozások (KKV-k) számára készült, figyelembe véve az ilyen szervezetek korlátait és sajátos felelősségeit. A szabályzat teljes mértékben KKV-kra van adaptálva: a szabályzatgazda az ügyvezető, és nem feltételez speciális szerepköröket, mint például a biztonsági műveleti központ (SOC) vagy az információbiztonsági vezető (CISO), miközben biztosítja az olyan vezető keretrendszereknek való megfelelést, mint az ISO/IEC 27001:2022, a GDPR és a kapcsolódó szabályozások. A szabályzat elsődleges célja egyértelmű, kikényszeríthető szabályok meghatározása az információk megőrzésére és biztonságos selejtezésére, biztosítva, hogy a nyilvántartásokat csak addig tartsák meg, ameddig azt jogszabály, szerződéses megállapodás vagy üzleti igény előírja. E követelmények teljesülése után az információt visszafordíthatatlanul meg kell semmisíteni. A szabályzat hangsúlyozza a jogi kitettség és az operatív kockázat minimalizálásának fontosságát a jogosulatlan vagy redundáns adatmegőrzés megelőzésével. Kiemeli továbbá a jól irányított megőrzés és selejtezés előnyeit az auditfelkészültség, a költségcsökkentés és a rendszer teljesítményének javítása szempontjából. KKV-k esetében a szabályzat gyakorlati eszközt ad a digitális és papíralapú adateszközök felelős kezeléséhez, függetlenül az IT-csapat méretétől. Az átfogó hatókör magában foglalja a nyilvántartások minden típusát, az üzleti dokumentumokat, az operatív naplókat, a pénzügyi fájlokat, a személyes adatokat, és minden tárolóközegre kiterjed: a helyi meghajtóktól és felhőben üzemeltetett rendszerektől a papíralapú tárolásig és a biztonsági mentésekig. Valamennyi munkatárs, vállalkozó és harmadik fél szolgáltató, akik szervezeti adatokat kezelnek, a szabályzat hatálya alá tartoznak. A szabályzat az adat-életciklus minden szakaszát lefedi a létrehozástól a biztonságos selejtezésig vagy megsemmisítésig. Kulcselem a szerepkörök és felelősségek egyértelmű elhatárolása. Az ügyvezető jóváhagyást ad, biztosítja az összhangot a jogi és üzleti kockázatokkal, valamint kezeli a kivételeket és a jogi zárolás és törlési felfüggesztés eseteit. A kijelölt Adattulajdonosok adatkategóriánként kerülnek kijelölésre, és felelősek az osztályozásért, a megőrzési időszakok meghatározásáért és a törlések engedélyezéséért; továbbá támogatják az auditfolyamatokat. Az IT-támogató szolgáltató vagy belső IT-felelős feladata a rendszerek konfigurálása a megőrzési szabályokhoz, a selejtezési naplózáshoz és a biztonságos törléshez, beleértve a biztonsági mentéseket és archívumokat is. A munkavállalók és vállalkozók kötelesek betartani a szabályzatot, elkerülni a nem megfelelő megőrzést, jelenteni a gazdátlan adatokat, és kizárólag jóváhagyott rendszereket használni adattárolásra. Az alapvető irányítási követelmények középpontjában egy részletes Megőrzési nyilvántartás fenntartása áll, amely felsorolja a nyilvántartáskategóriákat, a hozzárendelt időtartamokat, a selejtezési módokat, a jogi indokolást és az adattulajdonosokat. E nyilvántartást évente, illetve releváns jogi vagy üzleti kiváltó mechanizmusok esetén felül kell vizsgálni. A selejtezési módok az Adatosztályozás alapján kerülnek kiválasztásra, biztonságos eljárások alkalmazásával, például keresztvágásos iratmegsemmisítéssel, kriptográfiai törléssel vagy az adathordozók fizikai megsemmisítésével. A jogi zárolás és törlési felfüggesztés kifejezetten részletezett: alkalmazása esetén megakadályozza a törlést a tervezett megőrzési időszaktól függetlenül, és havi felülvizsgálatot igényel. A szabályzat előírja a munkatársak képzését és az éves frissítő képzést a tudatosság biztosítása érdekében. A kivételek szigorúan kontrolláltak, dokumentálási, jóváhagyási, felülvizsgálati és indokolható lejárati folyamatokkal. A kikényszerítési mechanizmusok közé tartoznak a rendszeres auditok, a szúrópróbaszerű ellenőrzések és a szabályszegések szigorú következményei, beleértve a szerződés megszüntetését vagy – személyes adatok nem megfelelő kezelése esetén – a szabályozói jelentéstételi kötelezettségek teljesítését. Összességében ez a szabályzat biztosítja, hogy egy KKV jogszerűen, megfelelőségi, auditálható és erőforrás-hatékony módon működhessen akkor is, ha nem állnak rendelkezésre fejlett IT-biztonsági szerepkörök. Kifejezetten az ISO/IEC 27001:2022 és az adatvédelmi jogszabályok követelményeihez igazodik, és szükségtelen komplexitás nélkül ad robusztus alapot az adat-életciklus-kezeléshez.

Irányelv-diagram

Adatmegőrzési és selejtezési szabályzat ábra, amely az adat-életciklus-kezelés lépéseit mutatja, beleértve a kategorizálást, a megőrzési időszakok hozzárendelését, a biztonságos selejtezési eljárásokat és az éves felülvizsgálatokat.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Hatókör és lefedett adatkategóriák

Megőrzési nyilvántartás irányítása

Szerepkörök az ügyvezető, az Adattulajdonos és az IT-felelős számára

Biztonságos selejtezési módszertan

Biztonsági mentések megőrzése és selejtezése

Kockázati, kivételkezelési és auditmechanizmusok

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.33
NIST SP 800-53 Rev.5
AU-11MP-6SI-12
EU NIS2
Article 21(2)(a)
EU DORA
Article 5(1)
COBIT 2019
BAI03.04DSS01.06
EU GDPR
Article 5(1)(e)Article 17

Kapcsolódó irányelvek

Irányítási szerepkörök és felelősségek szabályzat – KKV

Meghatározza a szabályzatgazdaságot és a kivételekhez kapcsolódó hatáskört és elszámoltathatóságot.

Adatosztályozási és címkézési szabályzat – KKV

Meghatározza, hogyan igazodnak a megőrzési szabályok az Adatosztályozás követelményeihez.

Eszközkezelési szabályzat – KKV

Irányítja azokat a tárolóeszközöket, amelyek megőrzés/selejtezés alá eső adatokat tartalmaznak.

Adatvédelem és adatvédelmi szabályzat – KKV

Biztosítja az adatvédelem és adattakarékosság elveinek érvényesítését, és támogatja a GDPR szerinti jogszerű információkezelést.

Incidenskezelési szabályzat – KKV

Akkor aktiválódik, ha a selejtezési vagy megőrzési hibák potenciális külső kitettséghez vezetnek.

A Clarysec irányelveiről - Adatmegőrzési és selejtezési szabályzat – KKV

Az általános biztonsági szabályzatok gyakran nagyvállalatokra készülnek, így a kisvállalkozások számára nehezen alkalmazható, összetett szabályokat és nem definiált szerepköröket hagynak maguk után. Ez a szabályzat más. A KKV-szabályzatainkat a gyakorlati bevezetésre terveztük olyan szervezetekben, ahol nincs dedikált biztonsági csapat. A felelősségeket azokhoz a szerepkörökhöz rendeljük, amelyek ténylegesen rendelkezésre állnak, például az ügyvezetőhöz és az IT-szolgáltatóhoz, nem pedig olyan specialisták „hadseregéhez”, akik nem állnak rendelkezésre. Minden követelmény egyedi sorszámozású záradékokra van bontva (pl. 5.2.1, 5.2.2). Ez a szabályzatot egy egyértelmű, lépésről lépésre követhető ellenőrzőlistává alakítja, így könnyen bevezethető, auditálható és testreszabható anélkül, hogy teljes fejezeteket kellene újraírni.

Megőrzési nyilvántartás struktúrája

Strukturált nyilvántartást használ a megőrzési időszakok, a jogalap és a selejtezési módok dokumentálására minden adatkategóriához.

Kikényszerített jogi zárolás és törlési felfüggesztés

Beépített folyamat a jogi zárolás és törlési felfüggesztés kezelésére, amely megvédi a nyilvántartásokat a törléstől peres eljárás, auditok vagy vizsgálat során.

Automatizált és manuális kikényszerítés

Támogatja a megőrzést és selejtezést konfigurálható automatizálással, valamint manuális ellenőrzésekkel a korlátozott rendszerek esetén.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT biztonság Megfelelés Audit és megfelelés jogi és megfelelőség

🏷️ Témafedezet

Adatosztályozás Adatkezelés megfeleléskezelés Adatvédelem jogi megfelelés dokumentált információ
€29

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
Data Retention and Disposal Policy - SME

Termék részletei

Típus: policy
Kategória: SME
Szabványok: 7