policy ISO 27701 PIMS Policy Pack

Asmenį identifikuojančios informacijos (AII) saugojimo, ištrynimo ir sunaikinimo politika

Apibrėžkite asmenį identifikuojančios informacijos (AII) saugojimo, ištrynimo ir sunaikinimo kontrolės priemones su įrodymais pagrindžiama valdysena sistemose, atsarginėse kopijose, pas duomenų tvarkytojus ir išimčių atvejais.

Apžvalga

Ši politika apibrėžia, kaip valdomi ir įrodymų medžiaga pagrindžiami asmenį identifikuojančios informacijos (AII) saugojimas, ištrynimas, anonimizavimas, deidentifikavimas, grąžinimas, perdavimas ir sunaikinimas. Ji taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstuose ir apima aktyvias sistemas, atsargines kopijas, archyvus, žurnalus, laikinuosius failus, popierinius įrašus ir duomenų laikmenas.

Saugojimo taisyklės prieš naudojimą

Prieš patvirtinimą REG02 reikalaujama dokumentuoti laikotarpius, paleidiklius, savininkus, pagrindimus, galutinį sutvarkymą ir peržiūros datas.

Kontroliuojamas galutinis sutvarkymas

Apima ištrynimą, grąžinimą, perdavimą, anonimizavimą, deidentifikavimą ir saugų sunaikinimą aktyviuose duomenyse, archyvuose ir atsarginėse kopijose.

Suderinimas su duomenų tvarkytojais

Reikalaujama REG08 dokumentuoti kliento nurodymus, subtvarkytojų toliau perduodamas prievoles ir galutinio sutvarkymo įrodymus.

Skaityti visą apžvalgą (click to expand)
Asmenį identifikuojančios informacijos (AII) saugojimo, ištrynimo ir sunaikinimo politika nustato organizacijos reikalavimus, kaip apibrėžti, peržiūrėti, vykdyti ir įrodymais pagrįsti asmenį identifikuojančios informacijos (AII) saugojimą, ištrynimą, anonimizavimą, deidentifikavimą, grąžinimą, perdavimą ir sunaikinimą. Pagrindinis jos tikslas – užtikrinti, kad asmenį identifikuojanti informacija (AII) būtų saugoma tik patvirtintais tikslais ir laikotarpiais, ištrinama arba kitaip sutvarkoma, kai jos nebereikia, ir pagrindžiama auditui tinkamais įrodymais. Politika taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstuose, atsižvelgiant į tai, kad saugojimo ir galutinio sutvarkymo prievolės gali kilti iš patvirtintų tvarkymo tikslų, teisinio pagrindo įrašų, duomenų valdytojo nurodymų, sutartinių reikalavimų, duomenų subjekto ištrynimo rezultatų, paslaugos nutraukimo, duomenų laikmenų sunaikinimo ir PIMS stebėsenos išvadų. Politika yra orientuota į veiklos vykdymą ir reikalauja, kad saugojimo valdysena būtų įtraukta į kanoninius PIMS įrodymų įrašus, o ne palaikoma atskirame ištrynimo registre. Duomenų valdytojo tvarkymo veikloms turi būti priskirta dokumentuota saugojimo taisyklė REG02 prieš pradedant tvarkymą. Bendro duomenų valdytojo atsakomybės registruojamos REG02 ir REG08, o duomenų tvarkytojo ir subtvarkytojo saugojimo, grąžinimo, perdavimo ir ištrynimo nurodymai tvarkomi REG08. Patvirtintose saugojimo taisyklėse turi būti nurodytas saugojimo laikotarpis, pradžios paleidiklis, savininkas, pagrindimas, galutinis sutvarkymas ir kitos peržiūros data. Politika taip pat reikalauja gauti duomenų apsaugos pareigūno (DAP) arba privatumo konsultanto rekomendaciją prieš tvirtinant saugojimo taisykles, susijusias su teisiniu konfliktu, didelės rizikos tvarkymu, specialių kategorijų asmenį identifikuojančia informacija (AII) arba saugojimu ilgiau nei pirminis tvarkymo tikslas. Vykdymo reikalavimai apima visą asmenį identifikuojančios informacijos (AII) gyvavimo ciklą. Sistemos savininkas / taikomosios programos savininkas privalo įvykdyti arba suplanuoti patvirtintą ištrynimą, grąžinimą, perdavimą, anonimizavimą, deidentifikavimą arba sunaikinimą per ištrynimo langą, užregistruotą taikomai saugojimo taisyklei. Politika atskiria aktyvias sistemas, archyvus, atsargines kopijas, replikas, žurnalus, parengiamąsias sritis ir laikinuosius failus, reikalaujant šias saugyklas identifikuoti REG02 prieš paleidimą gamybinėje aplinkoje ir kasmetinės saugojimo peržiūros metu. Ji taip pat reikalauja dokumentuoti atsarginių kopijų saugojimo langus ir ištrynimo tvarkymą atkūrimo metu, o pasibaigusius ištrynimo ar apribojimo veiksmus iš naujo pritaikyti iš atsarginių kopijų atkurtiems duomenims prieš atkurtą aplinką išleidžiant verslo naudojimui. Laikinieji failai ir parengiamosios kopijos, kuriose yra asmenį identifikuojanti informacija (AII), turi būti ištrinti arba sunaikinti per dokumentuotą REG02 laikotarpį po susijusios tvarkymo užduoties pabaigos. Politika taip pat reglamentuoja saugų sunaikinimą, anonimizavimą, deidentifikavimą, išimčių kontrolę ir stebėseną. Duomenų laikmenų, kuriose yra arba gali būti asmenį identifikuojanti informacija (AII), sunaikinimo būdų klasės turi būti informacijos saugumo vadovo patvirtintos REG12 prieš pakartotinį naudojimą, išleidimą, sunaikinimą ar išorinį sunaikinimą. Anonimizavimas arba deidentifikavimas gali būti naudojami kaip saugojimo rizikos mažinimo priemonė arba galutinio sutvarkymo rezultatas, tačiau turi būti dokumentuoti REG02 ir patvirtinti privatumo vadovo / PIMS vadovo prieš identifikuojamą asmenį identifikuojančią informaciją (AII) saugant ilgiau nei jos tikslas arba saugojimo laikotarpis. Patvirtintų saugojimo taisyklių išimtys turi būti pateiktos ir patvirtintos REG12 prieš joms įsigaliojant, o iki uždarymo peržiūrimos kas mėnesį. Tokie rodikliai kaip visi saugojimo metaduomenys, vėluojančios peržiūros, vėluojantys gyvavimo ciklo veiksmai ir vėluojantys galutinio sutvarkymo įrodymai matuojami nustatytais intervalais, o neatitiktys, audito išvados ir korekciniai veiksmai susiejami su REG12, siekiant palaikyti nuolatinį tobulinimą.

Politikos diagrama

Proceso srauto schema, rodanti asmenį identifikuojančios informacijos (AII) saugojimo valdyseną nuo saugojimo taisyklės priskyrimo REG02, kasmetinės peržiūros ir techninio taikymo iki ištrynimo, grąžinimo, perdavimo, anonimizavimo arba sunaikinimo, kartu su REG08 duomenų tvarkytojo įrodymais, REG12 išimtimis ir korekciniais veiksmais bei REG10 incidentų eskalavimu, kai nesėkmės atitinka asmenį identifikuojančios informacijos (AII) incidento kriterijus.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Saugojimo taisyklių savininkystė ir privalomi metaduomenys

Ištrynimo, grąžinimo, perdavimo ir sunaikinimo vykdymas

Atsarginės kopijos, archyvai, replikos, žurnalai ir laikinieji failai

Anonimizavimas, deidentifikavimas ir saugojimo minimizavimas

Išimtys, neatitiktys ir korekciniai veiksmai

Rodikliai, audito atranka ir politikos priežiūra

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 29100:2020
Clause 5.5Clause 5.6Clause 5.10
ISO/IEC 29151:2022
Annex A.7Annex A.7.2
EU GDPR
Article 5(1)(e)Article 5(2)Article 17Article 24Article 26Article 28Article 30Article 32
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.8Annex A.1.2.9Annex A.1.3.7Annex A.1.3.8Annex A.1.4.6Annex A.1.4.7Annex A.1.4.8Annex A.1.4.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.3.20Annex A.3.21Annex A.3.24
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 7.2Clause 7.3Clause 8.3Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7Clause 10.1Clause 10.2Clause 10.3
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 5.4.1
ISO/IEC 27002:2022
Control 7.14Control 8.10

Susijusios politikos

Duomenų subjekto teisių valdymo politika

Patvirtinti ištrynimo prašymai inicijuoja ištrynimo vertinimą REG06 ir REG02 pagal šią saugojimo politiką.

Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politika

Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių grąžinimo, perdavimo, ištrynimo ir sunaikinimo įrodymai valdomi per REG08.

Saugumo ir prieigos kontrolės politika

Saugaus sunaikinimo būdų klasės, duomenų laikmenų tvarkymas ir techninis taikymas priklauso nuo saugumo kontrolės priemonių.

Incidentų ir pažeidimų valdymo politika

Saugojimo, ištrynimo ar sunaikinimo nesėkmės, atitinkančios asmenį identifikuojančios informacijos (AII) incidento kriterijus, reikalauja REG10 tvarkymo.

PIMS stebėsenos, audito ir tobulinimo politika

Saugojimo rodikliai, įrodymų atranka, neatitiktys ir korekciniai veiksmai integruojami su stebėsena ir tobulinimu.

Tvarkymo veiklos apskaitos ir teisinio pagrindo politika

Saugojimo taisyklės ir galutinio sutvarkymo metaduomenys registruojami AII tvarkymo veiklos apskaitoje / RoPA.

Apie Clarysec politikas - Asmenį identifikuojančios informacijos (AII) saugojimo, ištrynimo ir sunaikinimo politika

Asmenį identifikuojančios informacijos (AII) saugojimo, ištrynimo ir sunaikinimo politika saugojimo trukmės ribojimą paverčia audituojamu veiklos modeliu. Ji reikalauja saugojimo taisykles apibrėžti prieš pradedant tvarkymą, registruoti REG02, suderinti su duomenų valdytojo arba kliento nurodymais ir peržiūrėti ne rečiau kaip kartą per metus arba po esminio pokyčio. Politika apima ištrynimą, grąžinimą, perdavimą, anonimizavimą, deidentifikavimą ir saugų sunaikinimą aktyviose sistemose, archyvuose, atsarginėse kopijose, replikose, žurnaluose, parengiamosiose srityse, laikinuosiuose failuose, popieriniuose įrašuose ir duomenų laikmenose. Ji taip pat apibrėžia valdysenos vaidmenis, duomenų tvarkytojo ir subtvarkytojo įrodymų reikalavimus, išimčių tvarkymą REG12, incidentų eskalavimą per REG10, kai taikoma, ir rodikliais grindžiamą stebėseną nuolatiniam tobulinimui.

Apibrėžti saugojimo metaduomenys

Prieš patvirtinimą reikalaujama nurodyti laikotarpį, paleidiklį, savininką, pagrindimą, galutinį sutvarkymą ir kitos peržiūros datą.

Saugaus sunaikinimo kontrolės priemonės

Prieš pakartotinį AII laikmenų naudojimą, išleidimą, sunaikinimą ar išorinį sunaikinimą reikalaujama patvirtinti sunaikinimo būdų klases.

Atsarginių kopijų ir archyvų tvarkymas

Saugojimo taisyklės taikomos archyvams, dokumentuojant atsarginių kopijų langus, atkūrimo tvarkymą ir techninius apribojimus.

Tiekėjų įrodymai

Reikalaujama duomenų tvarkytojų, subtvarkytojų ir išorės paslaugų įrodymų dėl grąžinimo, perdavimo, ištrynimo ir sunaikinimo veiksmų.

Išimčių valdysena

Reikalaujama terminuotų patvirtintų išimčių su savininkais, galiojimo pabaigos datomis, kompensuojančiomis kontrolės priemonėmis ir kas mėnesį atliekama peržiūra.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

Privatumas Teisė Atitiktis IT saugumas DAP biuras

🏷️ Teminė aprėptis

Duomenų saugojimas ir sunaikinimas Tvarkymo veiklos įrašai Duomenų subjektų teisių valdymas Duomenų valdytojo ir duomenų tvarkytojo atsakomybės Trečiųjų šalių valdymas Atitikties valdymas Rizikos valdymas
€79

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai

Ši politika yra 1 iš 25 visame ISO/IEC 27701 PIMS rinkinyje

Sutaupykite 52%

Gaukite visas 25 PIMS politikas, pilną registrų rinkinį ir išsamų įgyvendinimo planą už €799 vietoj €1 675 perkant atskirai.

Žiūrėti visą 27701 rinkinį →
PII Retention, Deletion and Disposal Policy

Produkto informacija

Tipas: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standartai: 7