Datu uzglabāšanas un likvidēšanas politika

Datu uzglabāšanas un likvidēšanas politika (P14) nosaka visaptverošas prasības visu organizācijas datu uzglabāšanai un drošai likvidēšanai visā to dzīves ciklā, lai nodrošinātu atbilstību, samazinātu risku un atbalstītu operatīvo efektivitāti. Šī politika ir piemērojama visā organizācijā un attiecas uz katru fizisko un digitālo informācijas aktīvu, kas pieder uzņēmumam, tiek apstrādāts vai uzglabāts, tostarp uz tiem, ko pārvalda trešās puses, meitasuzņēmumi un ārpakalpojumu partneri. Aptvertie aktīvi ietver digitālos failus, datubāzes, e-pastus un rezerves kopijas, kā arī papīra ierakstus un dzīves cikla beigās esošas ierīces. P14 politikas galvenais mērķis ir definēt stingras kontroles, cik ilgi dati tiek glabāti, balstoties uz juridiskajām, regulatīvajām un operatīvajām vajadzībām, un nodrošināt to pastāvīgu, drošu dzēšanu, kad tie vairs nav nepieciešami. Ieviešot skaidrus datu uzglabāšanas grafikus un stingras likvidēšanas procedūras, politika atbalsta ISO/IEC 27001:2022 prasības, nodrošina izsekojamu ierakstu pārvaldību un aizsargā konfidencialitāti, integritāti un pieejamību. Būtiski, ka politika palīdz organizācijai novērst nevajadzīgu datu uzkrāšanu, kas var radīt privātuma pārkāpumus, neefektivitāti vai paaugstinātu biznesa risku. Politikā ir skaidri noteiktas lomas un pienākumi: izpildu vadība apstiprina un uzrauga atbilstību; galvenais informācijas drošības vadītājs (CISO) ir politikas īpašnieks, definē un uzrauga ieviešanu; DPO sniedz konsultācijas par privātumu un validē personas datu apstrādi; informācijas īpašnieki nodrošina, ka grafiki ir pamatoti un autorizēti. IT komandas ir atbildīgas par tehnoloģisko kontrolpasākumu ieviešanu, savukārt visiem darbiniekiem, līgumslēdzējiem un attiecīgajām trešajām pusēm ir pienākums ievērot uzglabāšanas un likvidēšanas norādījumus. Ārpakalpojumu piegādātājiem un mākoņpakalpojumu sniedzējiem ir jāievēro līgumiskās drošības klauzulas un pēc pieprasījuma jāsniedz likvidēšanas audita pierādījumi. Pārvaldības prasības nosaka galvenā datu uzglabāšanas grafika (MDRS) izveidi un uzturēšanu, to pārskatot vismaz reizi gadā, kā arī likvidēšanas metožu un sertifikātu apstiprināšanu visiem datiem, kuriem beidzies uzglabāšanas termiņš. Politika nosaka uz klasifikāciju balstītus uzglabāšanas periodus, kas ir sasaistīti ar biznesa vajadzībām un juridisko pamatu, un tā skaidri aizliedz beztermiņa, bezsaimnieka vai neapstiprinātu datu uzglabāšanu. Specializēti nosacījumi attiecas uz rezerves kopiju un arhīvu uzglabāšanu, nodrošinot saskaņotību ar avārijas atjaunošanas mērķiem un atbalstu datu dzēšanai pēc pieprasījuma saskaņā ar GDPR vai citiem privātuma tiesību aktiem. Likvidēšanas kontroles tiek īstenotas saskaņā ar NIST SP 800-88 vai līdzvērtīgiem standartiem, nosakot neatgriezeniskas un dokumentētas iznīcināšanas metodes gan digitālajiem, gan papīra datu nesējiem. Tiesiskā saglabāšana un dzēšanas apturēšana ir pārāka par parastajiem dzēšanas grafikiem tiesvedības vai izmeklēšanas gadījumā, un visiem izņēmumiem no plānotās uzglabāšanas ir nepieciešams riska novērtējums un vadības apstiprinājums. Izpilde un atbilstība ietver periodiskus auditus, atbilstības pārbaudes, pārkāpumu ziņošanu un disciplināros pasākumus pēc nepieciešamības. Politika paredz arī pastāvīgu personāla drošības izpratnes apmācību un paredz incidentu reaģēšanas politikas (P30) piemērošanu jebkura pārkāpuma vai likvidēšanas incidenta gadījumā. Periodiski pārskatot un atjauninot politiku un sinhronizējot saistītos dokumentus, piemēram, Piekļuves kontroles politiku un Aktīvu pārvaldības politiku, organizācija nodrošina aizstāvamu, efektīvu un regulējumam saskaņotu pieeju datu dzīves cikla pārvaldībai.