policy Enterprise

Adatmegőrzési és selejtezési szabályzat

Határozza meg, hogyan őrzi meg és selejtezi biztonságosan a szervezet az adatokat a kulcsfontosságú jogszabályoknak és szabályozási keretrendszereknek megfelelően, az adatvédelem védelme és az üzleti kockázat minimalizálása érdekében.

Áttekintés

Az Adatmegőrzési és selejtezési szabályzat meghatározza a szervezeti követelményeket az adatok megőrzésére és biztonságos selejtezésére, biztosítva a jogi és szabályozási keretrendszereknek való megfelelést, a kockázat minimalizálását, valamint az egyértelmű szerepköröket és irányítást az adat-életciklus valamennyi szakaszában.

Jogszabályi megfelelés

Teljesíti az ISO/IEC 27001:2022, a GDPR, a NIS2, a DORA és a COBIT 2019 megőrzési és selejtezési követelményeit.

Biztonságos adatselejtezés

Visszafordíthatatlan és dokumentált megsemmisítési módszereket ír elő digitális és fizikai nyilvántartások esetén.

Teljes adat-életciklus-lefedettség

Lefedi az adatok létrehozását, használatát, archiválását és a megfelelés által vezérelt biztonságos selejtezést minden adattípusra.

Meghatározott szerepkörök és felelősségek

Egyértelmű elszámoltathatóságot rendel a vezetéshez, az IT-hez, az adattulajdonosokhoz, a harmadik felekhez és a munkatársakhoz.

Teljes áttekintés olvasása
Az Adatmegőrzési és selejtezési szabályzat (P14) átfogó követelményeket állapít meg a szervezeti adatok teljes életciklusára vonatkozó megőrzésére és biztonságos selejtezésére, a megfelelés biztosítása, a kockázat csökkentése és a működési eredményesség támogatása érdekében. A szabályzat szervezeti szinten alkalmazandó, és kiterjed minden, a vállalat tulajdonában lévő, általa kezelt vagy megőrzött fizikai és digitális információs vagyonelemre, beleértve a harmadik felek, leányvállalatok és kiszervezési partnerek által kezelt eszközöket is. A lefedett eszközök a digitális fájloktól, adatbázisoktól, e-mailektől és rendszerbiztonsági mentésektől a papíralapú nyilvántartásokig és az üzemen kívül helyezett hardverekig terjednek. A P14 szabályzat elsődleges célja szigorú kontrollok meghatározása arra vonatkozóan, hogy az adatokat mennyi ideig kell megőrizni jogi, szabályozási és működési igények alapján, valamint annak biztosítása, hogy amikor már nincs rájuk szükség, véglegesen és biztonságosan törlésre kerüljenek. Az egyértelmű adatmegőrzési ütemezések és a szigorú selejtezési eljárások kikényszerítésével a szabályzat támogatja az ISO/IEC 27001:2022 követelményeit, lehetővé teszi a nyomon követhető nyilvántartáskezelést, és védi az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának elveit. Fontos, hogy a szabályzat segít megelőzni a szükségtelen adatfelhalmozást, amely adatvédelmi jogsértésekhez, hatékonyságvesztéshez vagy megnövekedett üzleti kockázathoz vezethet. A szerepkörök és felelősségek egyértelműen meghatározottak: a vezetőség jóváhagyja és felügyeli a megfelelést; az információbiztonsági vezető (CISO) a szabályzat bevezetésének tulajdonosa, meghatározója és monitorozója; a Data Protection Officer (DPO) adatvédelmi kérdésekben tanácsot ad és validálja a személyes adatok adatkezelését; az információs vagyonelem-tulajdonosok pedig biztosítják, hogy az ütemezések indokoltak és engedélyezettek legyenek. Az IT-csapatok felelősek a technikai kontrollok megvalósításáért, míg valamennyi munkavállaló, vállalkozó és releváns harmadik fél köteles követni a megőrzési és selejtezési utasításokat. A kiszervezett beszállítók és felhőszolgáltatók kötelesek megfelelni a szerződéses biztonsági záradékoknak, és kérésre selejtezési auditbizonyítékot szolgáltatni. Az irányítási követelmények előírják egy központi adatmegőrzési ütemterv (MDRS) létrehozását és fenntartását legalább éves felülvizsgálattal, valamint a selejtezési módszerek és tanúsítványok jóváhagyását minden lejárt adat esetén. A szabályzat osztályozásvezérelt megőrzési időszakokat ír elő, amelyek üzleti igényekhez és jogalapokhoz kapcsolódnak, és kifejezetten tiltja a határozatlan idejű, gazdátlan vagy nem jóváhagyott adatmegőrzést. Speciális rendelkezések vonatkoznak a biztonsági mentések és archívumok megőrzésére, biztosítva az összhangot a vészhelyzeti helyreállítási célokkal, valamint támogatva az adatok törlését kérésre a GDPR vagy más adatvédelmi jogszabályok alapján. A selejtezési kontrollok a NIST SP 800-88 vagy egyenértékű szabványok szerint kerülnek kikényszerítésre, és visszafordíthatatlan, dokumentált megsemmisítési módszereket írnak elő digitális és papíralapú adathordozók esetén is. A jogi zárolás és a törlési felfüggesztés felülírja a normál törlési ütemezéseket peres eljárás vagy vizsgálat esetén, és minden, az ütemezett megőrzéstől való eltérés kockázatértékelést és vezetői jóváhagyást igényel. Az érvényesítés és megfelelés tevékenységei közé tartoznak az időszakos auditok, megfelelőségi ellenőrzések, szabálysértések bejelentése és szükség szerinti fegyelmi intézkedések. A szabályzat folyamatos munkatársi tudatossági képzést is előír, és bármely adatvesztés, bejelentésköteles incidens vagy selejtezési incidens esetén hivatkozik az Incidenskezelési szabályzatra. A szabályzat időszakos felülvizsgálatával és frissítésével, valamint a kapcsolódó dokumentumok (például a hozzáférés-vezérlési szabályzat és az eszközkezelési szabályzat) szinkronizálásával a szervezet védhető, hatékony és szabályozás-összehangolt megközelítést biztosít az adat-életciklus irányításához.

Irányelv-diagram

Adatmegőrzési és selejtezési szabályzat ábra, amely szemlélteti az adat-életciklus szakaszait, az osztályozásvezérelt megőrzési ütemezéseket, az automatizált kontrollokat és a biztonságos megsemmisítési munkafolyamatokat.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Hatókör és együttműködési szabályok

Központi adatmegőrzési ütemterv (MDRS) irányítása

Megőrzési és selejtezési folyamatok digitális és fizikai adatokhoz

Jogi zárolás és törlési felfüggesztés, valamint kivételkezelés

Biztonsági mentések és archív adatok adatkezelése

Harmadik fél és beszállítói selejtezési kontrollok

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27001:2022
6.1.38.1
ISO/IEC 27002:2022
5.105.125.30
NIST SP 800-53 Rev.5
AU-11MP-6SI-12PL-2
EU GDPR
5(1)(e)1732
EU NIS2
21(2)(a-e)
EU DORA
59
COBIT 2019
DSS01DSS05MEA03

Kapcsolódó irányelvek

Hozzáférés-vezérlési szabályzat

Biztosítja, hogy az adatok megőrzési időszaka alatt csak jogosult személyek férjenek hozzá, és hogy a lejárt adatok a selejtezésig korlátozás alatt álljanak.

Eszközkezelési szabályzat

Azonosítja, mely eszközök hordoznak ütemezett selejtezést igénylő adatokat, és nyomon követi életciklusukat a beszerzéstől a megsemmisítésig.

Adatosztályozási és címkézési szabályzat

Irányt ad az osztályozási döntésekhez, amelyek közvetlenül befolyásolják, mennyi ideig kerülnek megőrzésre az adatok, és milyen selejtezési módszer szükséges.

Biztonsági mentési és visszaállítási szabályzat

Meghatározza a megőrzési időszakokat és a selejtezési eljárásokat a biztonsági mentési adathordozókra és a replikált adateszközökre.

Kriptográfiai kontrollok szabályzata

Támogatja a kriptográfiai törlést selejtezéshez, és kikényszeríti a titkosítást az adattárolás során a megsemmisítésig.

Incidenskezelési szabályzat

Akkor aktiválódik, ha a nem megfelelő selejtezés potenciális adatvesztést, adatvédelmi incidenst vagy szabályozási jogsértést eredményez.

A Clarysec irányelveiről - Adatmegőrzési és selejtezési szabályzat

A hatékony biztonsági irányítás több mint megfogalmazás; egyértelműséget, elszámoltathatóságot és a szervezettel együtt skálázódó struktúrát igényel. Az általános sablonok gyakran nem működnek: hosszú bekezdésekkel és meghatározatlan szerepkörökkel kétértelműséget teremtenek. Ez a szabályzat úgy készült, hogy az Ön biztonsági programjának működési gerince legyen. A felelősségeket a modern vállalatokban ténylegesen meglévő szerepkörökhöz rendeljük, beleértve az információbiztonsági vezető (CISO) szerepét, az IT-biztonságot és a releváns bizottságokat, biztosítva az egyértelmű elszámoltathatóságot. Minden követelmény egyedi sorszámozású záradék (pl. 5.1.1, 5.1.2). Ez az atomi struktúra megkönnyíti a bevezetést, az auditálást konkrét kontrollok ellen, és a biztonságos testreszabást a dokumentum sértetlenségének megőrzése mellett, így a szabályzat statikus dokumentumból dinamikus, végrehajtható keretrendszerré válik.

Központi adatmegőrzési ütemterv

Minden információtípust a megőrzési időszakhoz, tulajdonoshoz, jogalaphoz és selejtezési módszerhez rendel a nyomon követhető, auditálható szabályzatmegfelelés érdekében.

Automatizált életciklus-kontrollok

Rendszervezérelt címkézést, ütemezett törlést és riasztásokat ír elő a hatékony életciklus-kezelés és a folyamat sértetlensége érdekében.

Kivételkezelési és jogi zárolási útmutatás

Integrálja a dokumentált kivételkezelési folyamatot, a jogi zárolás és a törlési felfüggesztés protokolljait, valamint az éves felülvizsgálatot a szabályozási és működési rugalmasság érdekében.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

IT Biztonság Megfelelés Audit Jogi

🏷️ Témafedezet

Adatosztályozás Dokumentált információ Szabályzatkezelés Megfeleléskezelés
€49

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések
Data Retention and Disposal Policy

Termék részletei

Típus: policy
Kategória: Enterprise
Szabványok: 7