Politika uchovávania a likvidácie údajov

Politika uchovávania a likvidácie údajov (P14) stanovuje komplexné požiadavky na uchovávanie a bezpečnú likvidáciu všetkých organizačných údajov počas ich životného cyklu s cieľom zabezpečiť súlad, znížiť riziko a podporiť prevádzkovú efektívnosť. Táto politika sa uplatňuje v celej organizácii a vzťahuje sa na každé fyzické a digitálne informačné aktívum vlastnené, spracúvané alebo uchovávané spoločnosťou, vrátane tých, ktoré spravujú tretie strany, dcérske spoločnosti a outsourcingoví partneri. Pokryté aktíva zahŕňajú digitálne súbory, databázy, e-maily a systémové zálohy, ako aj papierové záznamy a vyradený hardvér. Hlavným účelom politiky P14 je definovať prísne kontrolné opatrenia pre dobu uchovávania údajov na základe právnych, regulačných a prevádzkových potrieb a zabezpečiť ich trvalé, bezpečné vymazanie, keď už nie sú potrebné. Vynucovaním jasných harmonogramov uchovávania údajov a prísnych postupov likvidácie politika podporuje požiadavky ISO/IEC 27001:2022, umožňuje vysledovateľnú správu záznamov a chráni dôvernosť, integritu a dostupnosť údajov. Politika zároveň pomáha organizácii predchádzať zbytočnému hromadeniu údajov, ktoré by mohlo viesť k porušeniam ochrany údajov, neefektívnosti alebo zvýšenému podnikovému riziku. Roly a zodpovednosti sú v politike jasne vymedzené: výkonný manažment schvaľuje a dohliada na súlad; riaditeľ informačnej bezpečnosti (CISO) vlastní, definuje a monitoruje implementáciu politiky; DPO poskytuje poradenstvo v oblasti ochrany údajov a validuje nakladanie s údajmi; a vlastníci informačných aktív zabezpečujú, že harmonogramy sú odôvodnené a autorizované. IT tímy sú zodpovedné za implementáciu technologických kontrolných opatrení, zatiaľ čo všetci zamestnanci, dodávatelia a relevantné tretie strany sú povinní dodržiavať pokyny na uchovávanie a likvidáciu. Outsourcovaní dodávatelia a poskytovatelia cloudových služieb musia dodržiavať zmluvné bezpečnostné doložky a na požiadanie poskytnúť dôkaz o likvidácii. Požiadavky správy stanovujú vytvorenie a udržiavanie hlavného harmonogramu uchovávania údajov (MDRS), ktorý sa preskúmava minimálne raz ročne, a schvaľovanie metód likvidácie a certifikátov pre všetky údaje po uplynutí lehoty uchovávania. Politika vynucuje doby uchovávania riadené klasifikáciou, naviazané na obchodné potreby a právne základy, a výslovne zakazuje neobmedzené, osirelé alebo neschválené uchovávanie údajov. Špecializované ustanovenia riešia uchovávanie záloh a archívov, zabezpečujú zosúladenie s cieľmi obnovy po havárii a podporu vymazania údajov na požiadanie podľa GDPR alebo iných zákonov o ochrane údajov. Kontroly likvidácie sa vynucujú podľa NIST SP 800-88 alebo rovnocenných noriem a vyžadujú nezvratné a zdokumentované metódy zničenia pre digitálne aj papierové médiá. Právne uchovanie a pozastavenie výmazu má prednosť pred bežnými harmonogramami vymazávania v prípade súdneho sporu alebo vyšetrovania a všetky výnimky z plánovaného uchovávania vyžadujú posúdenie rizík a schválenie manažmentom. Činnosti vynucovania a súladu zahŕňajú pravidelné audity, kontroly súladu, nahlasovanie porušení a disciplinárne opatrenia podľa potreby. Politika tiež vyžaduje priebežné školenie bezpečnostného povedomia personálu a v prípade akéhokoľvek porušenia alebo incidentu pri likvidácii odkazuje na Politiku reakcie na incidenty (P30). Pravidelným preskúmavaním a aktualizáciou politiky a synchronizáciou prepojených dokumentov, ako sú Politika riadenia prístupu a politiky správy aktív, organizácia zabezpečuje obhájiteľný, efektívny a s predpismi zosúladený prístup k správe životného cyklu údajov.