Duomenų saugojimo ir šalinimo politika – SVV

Duomenų saugojimo ir šalinimo politika – SVV (Politika P14S) parengta specialiai mažoms ir vidutinėms įmonėms (SVV), atsižvelgiant į tokių organizacijų ribotus išteklius ir specifines atsakomybes. Ši politika visiškai pritaikyta SVV, ką rodo generalinio direktoriaus įtraukimas kaip politikos savininko, nedarant prielaidų apie specializuotus vaidmenis, tokius kaip Saugumo operacijų centras (SOC) ar Vyriausiasis informacijos saugumo pareigūnas (CISO), kartu užtikrinant atitiktį pagrindinėms sistemoms, įskaitant ISO/IEC 27001:2022, BDAR ir susijusius reglamentavimo reikalavimus. Pagrindinis šios politikos tikslas – nustatyti aiškias, vykdytinas taisykles informacijos saugojimui ir saugiam šalinimui, užtikrinant, kad įrašai būtų saugomi tik tiek, kiek reikalauja teisės aktai, sutartys ar verslo poreikis. Įvykdžius šiuos reikalavimus, informacija turi būti negrįžtamai sunaikinta. Politika pabrėžia teisinės ekspozicijos ir operacinės rizikos mažinimo svarbą, užkertant kelią nesankcionuotam ar pertekliniam duomenų saugojimui. Taip pat akcentuojama, kad tinkamai valdoma saugojimo ir šalinimo praktika padeda pasirengti auditui, mažina sąnaudas ir gerina sistemų veikimą. SVV atveju ši politika yra praktinė priemonė atsakingai valdyti tiek skaitmeninius, tiek popierinius duomenų turtus, nepriklausomai nuo IT komandos dydžio. Išsami taikymo sritis apima visų tipų įrašus, verslo dokumentus, operacinius žurnalus, finansinius failus, asmens duomenis ir taikoma visoms saugojimo laikmenoms – nuo vietinių diskų ir debesijos sistemų iki popierinių archyvų ir atsarginių kopijų. Visi darbuotojai, rangovai ir trečiųjų šalių paslaugų teikėjai, kurie tvarko organizacijos duomenis, privalo laikytis šios politikos. Politika apima kiekvieną duomenų gyvavimo ciklo etapą – nuo sukūrimo iki saugaus šalinimo ar sunaikinimo. Svarbi ypatybė – aiškiai apibrėžti vaidmenys ir atsakomybės. Generalinis direktorius suteikia patvirtinimą, užtikrina suderinamumą su teisine ir verslo rizika, tvarko išimtis ir Teisinį duomenų išsaugojimą ir trinimo sustabdymą. Paskirti Duomenų savininkai priskiriami pagal duomenų kategorijas ir yra atsakingi už klasifikavimą, saugojimo laikotarpių nustatymą ir trynimų autorizavimą; jie taip pat padeda audito procesuose. IT palaikymo paslaugų teikėjas arba vidinis IT vadovas atsako už sistemų konfigūravimą pagal saugojimo taisykles, šalinimo registravimą ir saugų ištrynimą, įskaitant atsargines kopijas ir archyvus. Darbuotojai ir rangovai privalo laikytis politikos, vengti netinkamo saugojimo, pranešti apie bešeimininkes paskyras / bešeimininkius duomenis ir duomenų saugojimui naudoti tik patvirtintas sistemas. Pagrindiniai valdysenos reikalavimai apima išsamaus Saugojimo registro palaikymą, kuriame nurodomos įrašų kategorijos, priskirti laikotarpiai, šalinimo metodai, teisinis pagrindimas ir duomenų savininkai. Šis registras turi būti peržiūrimas kasmet arba atsiradus reikšmingiems teisiniams ar verslo paleidikliams. Šalinimo metodai parenkami pagal duomenų klasifikavimą, taikant saugias procedūras, tokias kaip kryžminis smulkinimas, kriptografinis ištrynimas arba fizinis laikmenų sunaikinimas. Teisinis duomenų išsaugojimas ir trinimo sustabdymas aprašomas aiškiai: jį pritaikius, trynimas draudžiamas nepriklausomai nuo suplanuoto saugojimo laikotarpio ir reikalaujama mėnesinė peržiūra. Politika taip pat numato personalo mokymus ir metinius pakartotinius mokymus, kad būtų užtikrintas informuotumas. Išimtys griežtai kontroliuojamos, taikant dokumentavimo, patvirtinimo, peržiūros ir pagrįsto galiojimo pabaigos procesus. Vykdymo užtikrinimo mechanizmai apima reguliarius auditus, atsitiktinius patikrinimus ir griežtas pasekmes už pažeidimus, įskaitant sutarties nutraukimą arba pranešimą reguliuotojams, jei netinkamai tvarkomi asmens duomenys. Galiausiai ši politika užtikrina, kad SVV galėtų veikti teisėtai, audituojamai ir efektyviai naudojant išteklius, net jei nėra pažangių IT saugumo vaidmenų. Ji sukurta taip, kad būtų suderinta su ISO/IEC 27001:2022 ir privatumo teisės aktais, suteikiant SVV tvirtą pagrindą duomenų gyvavimo ciklo valdymui be nereikalingo sudėtingumo.