Polityka retencji i utylizacji danych

Polityka retencji i utylizacji danych (P14) ustanawia kompleksowe wymagania dotyczące retencji oraz bezpiecznej utylizacji wszystkich danych organizacji w całym ich cyklu życia, aby zapewnić zgodność, ograniczyć ryzyko i wspierać skuteczność operacyjną. Polityka ma zastosowanie w całej organizacji i obejmuje każde fizyczne i cyfrowe aktywo informacyjne będące własnością firmy, przetwarzane lub przechowywane przez firmę, w tym aktywa zarządzane przez strony trzecie, spółki zależne oraz partnerów outsourcingowych. Zakres obejmuje pliki cyfrowe, bazy danych, wiadomości e-mail i systemy kopii zapasowych, a także dokumentację papierową oraz wycofany z eksploatacji sprzęt. Głównym celem polityki P14 jest zdefiniowanie ścisłych zabezpieczeń dotyczących tego, jak długo dane są przechowywane w oparciu o potrzeby prawne, regulacyjne i operacyjne, oraz zapewnienie ich trwałego, bezpiecznego usunięcia, gdy nie są już wymagane. Poprzez egzekwowanie jasnych harmonogramów retencji danych i rygorystycznych procedur utylizacji polityka wspiera wymagania ISO/IEC 27001:2022, umożliwia możliwe do prześledzenia zarządzanie zapisami oraz chroni poufność, integralność i dostępność danych. Polityka pomaga również zapobiegać niepotrzebnej akumulacji danych, która mogłaby prowadzić do naruszeń prywatności, nieefektywności lub zwiększonego ryzyka biznesowego. Role i odpowiedzialności są w polityce jasno rozdzielone: kierownictwo wykonawcze zatwierdza i nadzoruje zgodność; Dyrektor ds. bezpieczeństwa informacji (CISO) jest właścicielem, definiuje i monitoruje wdrożenie polityki; Inspektor Ochrony Danych (DPO) doradza w zakresie prywatności i waliduje postępowanie z danymi osobowymi; a właściciele informacji zapewniają, że harmonogramy są uzasadnione i autoryzowane. Zespoły IT odpowiadają za wdrożenie zabezpieczeń technicznych, natomiast wszyscy pracownicy, wykonawcy oraz właściwe strony trzecie są zobowiązani do przestrzegania instrukcji retencji i utylizacji. Dostawcy outsourcingowi i dostawcy usług stron trzecich muszą spełniać wymogi umowne, w tym klauzule bezpieczeństwa, oraz dostarczać dowód z audytu utylizacji na żądanie. Wymagania dotyczące zarządzania obejmują utworzenie i utrzymanie Głównego harmonogramu retencji danych (MDRS), przeglądanego co najmniej raz w roku, oraz zatwierdzanie metod utylizacji i certyfikatów dla wszystkich danych, których okres retencji wygasł. Polityka egzekwuje okresy retencji oparte na klasyfikacji danych, powiązane z potrzebami biznesowymi i podstawami prawnymi, oraz wyraźnie zabrania nieograniczonej, osieroconej lub niezatwierdzonej retencji danych. Specjalne postanowienia dotyczą retencji kopii zapasowych i archiwów, zapewniając zgodność z celami odzyskiwania po awarii oraz wsparcie dla usuwania danych na żądanie zgodnie z GDPR lub innymi przepisami o prywatności. Zabezpieczenia utylizacji są egzekwowane zgodnie z NIST SP 800-88 lub równoważnymi normami, wymagając nieodwracalnych i udokumentowanych metod niszczenia zarówno nośników cyfrowych, jak i papierowych. Zabezpieczenie prawne i wstrzymanie usuwania ma pierwszeństwo przed standardowymi harmonogramami usuwania w przypadku postępowania sądowego lub dochodzenia, a wszelkie odstępstwa od zaplanowanej retencji wymagają oceny ryzyka oraz zatwierdzenia przez kierownictwo. Działania w zakresie egzekwowania i zgodności obejmują okresowe audyty, kontrole zgodności, zgłaszanie incydentów oraz środki dyscyplinarne w razie potrzeby. Polityka wymaga również ciągłego szkolenia z zakresu świadomości bezpieczeństwa informacji personelu oraz odwołuje się do Polityki reagowania na incydenty (P30) w przypadku naruszenia lub incydentu utylizacji. Poprzez okresowy przegląd i aktualizację polityki oraz synchronizację dokumentów powiązanych, takich jak Polityka kontroli dostępu i Polityka zarządzania aktywami, organizacja zapewnia możliwe do obrony, efektywne i zgodne z regulacjami podejście do zarządzania cyklem życia danych.