Datu uzglabāšanas un likvidēšanas politika – MVU

Datu uzglabāšanas un likvidēšanas politika – MVU (politika P14S) ir izstrādāta tieši mazajiem un vidējiem uzņēmumiem (MVU), ņemot vērā ierobežojumus un unikālos pienākumus, ar kuriem šādas organizācijas saskaras. Šī politika ir pilnībā pielāgota MVU, ko apliecina ģenerāldirektora iesaiste kā politikas īpašniekam, neparedzot specializētas lomas, piemēram, Drošības operāciju centru (SOC) vai galveno informācijas drošības vadītāju (CISO), vienlaikus nodrošinot atbilstību vadošajiem ietvariem, piemēram, ISO/IEC 27001:2022, GDPR un saistītajiem regulējumiem. Šīs politikas galvenais mērķis ir noteikt skaidrus, izpildāmus noteikumus informācijas uzglabāšanai un drošai likvidēšanai, nodrošinot, ka ieraksti tiek glabāti tikai tik ilgi, cik to nosaka likums, līgumi vai biznesa nepieciešamība. Pēc šo prasību izpildes informācija ir neatgriezeniski jāiznīcina. Politika uzsver juridiskās pakļautības un operacionālā riska mazināšanu, novēršot nesankcionētu vai lieku datu uzglabāšanu. Tā arī izceļ labi pārvaldītas uzglabāšanas un likvidēšanas ieguvumus audita gatavībai, izmaksu samazināšanai un sistēmu veiktspējas uzlabošanai. MVU gadījumā politika kalpo kā praktisks līdzeklis atbildīgai gan digitālo, gan papīra datu aktīvu pārvaldībai neatkarīgi no IT komandas lieluma. Visaptverošā darbības joma ietver visu veidu ierakstus, biznesa dokumentus, operacionālos žurnālus, finanšu failus, personas datus un attiecas uz jebkuru glabāšanas nesēju — no personīgās uzglabāšanas vietām (OneDrive, vietējie diski) un mākoņvidē izvietotām sistēmām līdz papīra glabāšanai un rezerves kopiju sistēmām. Visi darbinieki, līgumslēdzēji un trešo pušu pakalpojumu sniedzēji, kas apstrādā organizācijas datus, ir saistīti ar šo politiku. Politika aptver katru datu dzīves cikla posmu — no izveides līdz drošai likvidēšanai vai iznīcināšanai. Būtiska iezīme ir skaidra lomu un pienākumu nodalīšana. Ģenerāldirektors sniedz apstiprinājumu, nodrošina saskaņotību ar juridisko un biznesa risku, kā arī apstrādā izņēmumus un tiesisko saglabāšanu un dzēšanas apturēšanu. Norīkotie datu īpašnieki tiek piešķirti pēc datu kategorijām un ir atbildīgi par klasifikāciju, uzglabāšanas termiņu noteikšanu un dzēšanas autorizēšanu; tie arī atbalsta audita procesus. IT atbalsta pakalpojumu sniedzējs vai iekšējais IT vadītājs ir atbildīgs par sistēmu konfigurēšanu uzglabāšanas noteikumiem, likvidēšanas žurnālfiksēšanai un drošai dzēšanai, tostarp rezerves kopijām un arhīviem. Darbiniekiem un līgumslēdzējiem ir jāievēro politika, jāizvairās no neatbilstošas uzglabāšanas, jāziņo par bezsaimnieka kontu datiem un datu glabāšanai jāizmanto tikai apstiprinātas sistēmas. Galvenās pārvaldības prasības ir saistītas ar detalizēta uzglabāšanas reģistra uzturēšanu, kurā uzskaitītas ierakstu kategorijas, piešķirtie termiņi, likvidēšanas metodes, juridiskais pamatojums un datu īpašnieki. Šis reģistrs ir jāpārskata ik gadu vai pēc attiecīgiem juridiskiem vai biznesa trigeriem. Likvidēšanas metodes tiek izvēlētas atbilstoši datu klasifikācijai, izmantojot drošas procedūras, piemēram, šķērssagriešanas smalcināšanu, kriptogrāfisku dzēšanu vai datu nesēju fizisku iznīcināšanu. Tiesiskā saglabāšana un dzēšanas apturēšana ir skaidri aprakstīta; pēc piemērošanas tā aizliedz dzēšanu neatkarīgi no plānotā uzglabāšanas termiņa un prasa ikmēneša pārskatīšanu. Politika arī nosaka personāla apmācību un ikgadējo atkārtoto apmācību, lai nodrošinātu informētību. Izņēmumi tiek stingri kontrolēti, paredzot dokumentēšanas, apstiprināšanas, pārskatīšanas un pamatota termiņa beigu procesus. Izpildes mehānismi ietver regulārus auditus, izlases pārbaudes un stingras sekas par pārkāpumiem, līdz pat līguma izbeigšanai vai regulatīvai ziņošanai personas datu neatbilstošas apstrādes gadījumā. Kopumā šī politika nodrošina, ka MVU var darboties juridiski atbilstoši, auditējami un resursu ziņā efektīvi, pat ja nav pieejamas progresīvas IT drošības lomas. Tā ir mērķtiecīgi saskaņota ar ISO/IEC 27001:2022 un privātuma tiesību aktiem, nodrošinot MVU stabilu pamatu datu dzīves cikla pārvaldībai bez liekas sarežģītības.