Duomenų saugojimo ir šalinimo politika

Duomenų saugojimo ir šalinimo politika (P14) nustato išsamius reikalavimus visų organizacijos duomenų saugojimui ir saugiam šalinimui per visą jų gyvavimo ciklą, siekiant užtikrinti atitiktį, sumažinti riziką ir palaikyti veiklos efektyvumą. Ši politika taikoma visoje organizacijoje ir apima kiekvieną fizinį ir skaitmeninį informacinį turtą, kurį įmonė valdo, tvarko ar saugo, įskaitant trečiųjų šalių, dukterinių įmonių ir išorinių paslaugų partnerių valdomą turtą. Apimamas turtas – nuo skaitmeninių failų, duomenų bazių, el. laiškų ir sistemų atsarginių kopijų iki popierinių įrašų ir išėmimo iš eksploatacijos reikalavimus atitinkančios aparatinės įrangos. P14 politikos pagrindinis tikslas – apibrėžti griežtas kontrolės priemones, kiek laiko duomenys saugomi pagal teisinius, reglamentavimo ir veiklos poreikius, ir užtikrinti nuolatinį, saugų jų ištrynimą, kai jie nebereikalingi. Įtvirtindama aiškius duomenų saugojimo grafikus ir griežtas šalinimo procedūras, politika palaiko ISO/IEC 27001:2022 reikalavimus, užtikrina atsekamą įrašų valdymą ir saugo konfidencialumą, vientisumą, prieinamumą (KVP). Svarbu tai, kad politika padeda organizacijai išvengti nereikalingo duomenų kaupimo, kuris gali lemti duomenų privatumo pažeidimus, neefektyvumą ar padidėjusią verslo riziką. Politikoje aiškiai apibrėžti vaidmenys ir atsakomybės: vykdomoji vadovybė tvirtina ir prižiūri atitiktį; Vyriausiasis informacijos saugumo pareigūnas (CISO) valdo, apibrėžia ir stebi politikos įgyvendinimą; DPO konsultuoja dėl duomenų privatumo ir patvirtina asmens duomenų tvarkymą; informacinio turto savininkai užtikrina, kad grafikai būtų pagrįsti ir autorizuoti. IT ir saugumo komandos atsakingos už technologinių kontrolės priemonių įgyvendinimą, o visi darbuotojai, rangovai ir atitinkamos trečiosios šalys privalo laikytis saugojimo ir šalinimo nurodymų. Išoriniai tiekėjai ir debesijos paslaugų teikėjai privalo laikytis sutartinių saugumo reikalavimų ir, pareikalavus, pateikti šalinimo audito įrodymus. Valdysenos reikalavimai numato Pagrindinio duomenų saugojimo grafiko (MDRS) parengimą ir palaikymą, peržiūrimą bent kasmet, taip pat šalinimo metodų ir sertifikatų patvirtinimą visiems pasibaigusio galiojimo duomenims. Politika įtvirtina klasifikavimu grindžiamus saugojimo laikotarpius, susietus su verslo poreikiais ir teisiniais pagrindais, ir aiškiai draudžia neribotą, bešeimininkį ar nepatvirtintą duomenų saugojimą. Specialios nuostatos apima atsarginių kopijų ir archyvų saugojimą, užtikrinant suderinamumą su atkūrimo po katastrofos tikslais ir palaikant duomenų ištrynimą pagal prašymą pagal GDPR ar kitus duomenų privatumo teisės aktus. Šalinimo kontrolės priemonės taikomos pagal NIST SP 800-88 arba lygiavertes nuostatas, reikalaujant negrįžtamų ir dokumentuotų sunaikinimo metodų tiek skaitmeninėms, tiek popierinėms laikmenoms. Teisinis duomenų išsaugojimas ir trinimo sustabdymas turi viršenybę prieš įprastus trynimo grafikus bylinėjimosi ar tyrimo atveju, o visoms išimtims nuo suplanuoto saugojimo reikalingas rizikos vertinimas ir vadovybės patvirtinimas. Vykdymo užtikrinimas ir atitiktis apima periodinius auditus, atitikties patikras, pranešimą apie pažeidimus ir drausmines priemones, kai to reikia. Politika taip pat numato nuolatinius personalo saugumo informuotumo mokymus ir taiko reagavimo į incidentus politiką tais atvejais, kai įvyksta pažeidimas ar šalinimo incidentas. Periodiškai peržiūrėdama ir atnaujindama politiką bei sinchronizuodama susijusius dokumentus, pvz., Prieigos kontrolės politiką ir Turto valdymo politiką, organizacija užtikrina pagrįstą, efektyvų ir reglamentavimo reikalavimams suderintą duomenų gyvavimo ciklo valdysenos požiūrį.