Politika hrambe in odstranjevanja podatkov – SME

Politika hrambe in odstranjevanja podatkov – SME (Politika P14S) je pripravljena posebej za mala in srednja podjetja (SME) ter upošteva omejitve in posebne odgovornosti, s katerimi se takšne organizacije soočajo. Politika je v celoti prilagojena za SME, kar je razvidno iz vključenosti generalnega direktorja kot lastnika politike, brez predpostavke specializiranih vlog, kot sta center za varnostne operacije (SOC) ali vodja informacijske varnosti (CISO), hkrati pa zagotavlja skladnost z vodilnimi okviri, kot so ISO/IEC 27001:2022, GDPR in povezani predpisi. Glavni namen te politike je določiti jasna, izvršljiva pravila za hrambo in varno odstranjevanje informacij ter zagotoviti, da se zapisi hranijo le toliko časa, kot to zahtevajo zakon, pogodbe ali poslovna potreba. Ko so te zahteve izpolnjene, je treba informacije nepovratno uničiti. Politika obravnava pomen zmanjševanja pravne izpostavljenosti in operativnega tveganja s preprečevanjem nepooblaščene ali odvečne hrambe podatkov. Poudarja tudi koristi dobro upravljane hrambe in odstranjevanja za pripravljenost na revizijo, nižje stroške in izboljšano delovanje sistemov. Za SME politika predstavlja praktičen način odgovornega upravljanja tako digitalnih kot papirnih podatkovnih sredstev, ne glede na velikost IT ekipe. Celovit obseg vključuje vse vrste zapisov, poslovne dokumente, operativne dnevnike, finančne datoteke, osebne podatke in velja za vsak nosilec shranjevanja – od lokalnih diskov in sistemov, gostovanih v oblaku, do papirne hrambe in sistemov za varnostno kopiranje. Vsi zaposleni, pogodbeni izvajalci in ponudniki storitev tretjih oseb, ki ravnajo s podatki organizacije, so zavezani tej politiki. Politika pokriva vsako fazo življenjskega cikla podatkov – od nastanka do varnega odstranjevanja ali uničenja. Ključna značilnost je jasna razmejitev vlog in odgovornosti. Generalni direktor zagotavlja odobritev, skrbi za uskladitev s pravnim in poslovnim tveganjem ter obravnava izjeme ter pravno zadržanje in odlog izbrisa. Imenovani lastniki podatkov so dodeljeni po kategorijah podatkov in so odgovorni za razvrščanje, določanje obdobij hrambe ter odobritev brisanj; podpirajo tudi revizijske procese. Ponudnik IT podpore ali notranji vodja IT je zadolžen za konfiguriranje sistemov za pravila hrambe, beleženje odstranjevanja in varno brisanje, vključno za sisteme za varnostno kopiranje in arhive. Od zaposlenih in pogodbenih izvajalcev se pričakuje, da upoštevajo politiko, se izogibajo neustrezni hrambi, poročajo o osirotelih računih in uporabljajo le odobrene sisteme za shranjevanje podatkov. Osrednje zahteve upravljanja temeljijo na vzdrževanju podrobnega registra hrambe, ki navaja kategorije zapisov, dodeljena obdobja, metode odstranjevanja, pravno utemeljitev in lastnike podatkov. Ta register je treba pregledati letno ali ob ustreznih pravnih ali poslovnih sprožilcih. Metode odstranjevanja se izberejo glede na razvrščanje podatkov, pri čemer se uporabljajo varni postopki, kot so drobljenje s križnim rezom, kriptografsko brisanje ali fizično uničenje nosilcev. Pravno zadržanje in odlog izbrisa sta izrecno opisana; ko sta uporabljena, preprečujeta brisanje ne glede na načrtovano obdobje hrambe in zahtevata mesečni pregled. Politika zahteva tudi usposabljanje osebja in letno obnovitveno usposabljanje za zagotavljanje ozaveščenosti. Izjeme so strogo nadzorovane, s procesi za dokumentiranje, odobritev, pregled in utemeljeno prenehanje veljavnosti. Mehanizmi uveljavljanja vključujejo redne presoje, naključne preglede in stroge posledice za kršitve, do in vključno s prenehanjem pogodbe ali regulatornim poročanjem v primeru nepravilnega ravnanja z osebnimi podatki. Ta politika zagotavlja, da lahko SME deluje zakonito, skladno, revidirljivo in učinkovito z vidika virov, tudi kadar napredne vloge informacijske varnosti niso prisotne. Namenjena je uskladitvi z ISO/IEC 27001:2022 in zakoni o zasebnosti ter SME zagotavlja robustno osnovo za upravljanje življenjskega cikla podatkov brez nepotrebne kompleksnosti.