Politika hrambe in odstranjevanja podatkov

Politika hrambe in odstranjevanja podatkov (P14) vzpostavlja celovite zahteve za hrambo in varno odstranjevanje vseh organizacijskih podatkov skozi njihov življenjski cikel, da se zagotovi skladnost, zmanjša tveganje in podpre operativna učinkovitost. Ta politika velja v celotni organizaciji in se razteza na vsako fizično in digitalno informacijsko sredstvo, ki je v lasti podjetja, ga podjetje obdeluje ali hrani, vključno s tistimi, ki jih upravljajo tretje osebe, odvisne družbe in partnerji za zunanje izvajanje. Pokrita sredstva segajo od digitalnih datotek, podatkovnih baz, e-pošte in sistemov za varnostno kopiranje do papirnih zapisov in strojne opreme, izločene iz uporabe. Glavni namen politike P14 je opredeliti stroge kontrole glede tega, kako dolgo se podatki hranijo na podlagi pravnih, regulativnih in operativnih potreb, ter zagotoviti njihov trajen, varen izbris, ko niso več potrebni. Z uveljavljanjem jasnih urnikov hrambe podatkov in strogih postopkov odstranjevanja politika podpira zahteve ISO/IEC 27001:2022, omogoča sledljivo upravljanje zapisov ter varuje zaupnost, celovitost in razpoložljivost podatkov. Pomembno je, da politika organizaciji pomaga preprečiti nepotrebno kopičenje podatkov, ki bi lahko povzročilo kršitve zasebnosti, neučinkovitosti ali povečano poslovno tveganje. Vloge in odgovornosti so v politiki jasno razmejene: izvršno vodstvo odobri in nadzira skladnost; vodja informacijske varnosti (CISO) je lastnik politike, opredeli in spremlja njeno izvajanje; pooblaščenec za varstvo podatkov (DPO) svetuje glede zasebnosti in validira ravnanje z osebnimi podatki; lastniki informacij zagotavljajo, da so urniki utemeljeni in odobreni. Ekipe IT so odgovorne za izvajanje tehnoloških nadzornih ukrepov, medtem ko so vsi zaposleni, pogodbeni izvajalci in relevantne tretje osebe dolžni upoštevati navodila za hrambo in odstranjevanje. Zunanje izvajani dobavitelji in ponudniki v oblaku morajo izpolnjevati pogodbene varnostne klavzule in na zahtevo zagotoviti revizijske dokaze o odstranjevanju. Zahteve upravljanja določajo vzpostavitev in vzdrževanje glavnega urnika hrambe podatkov (MDRS), ki se pregleda najmanj letno, ter odobritev metod odstranjevanja in potrdil za vse podatke, ki jim je potekla hramba. Politika uveljavlja obdobja hrambe, ki temeljijo na razvrščanju in so vezana na poslovne potrebe ter pravne podlage, ter izrecno prepoveduje nedoločno, osirotelo ali neodobreno hrambo podatkov. Posebne določbe obravnavajo hrambo varnostnih kopij in arhivov ter zagotavljajo uskladitev s cilji obnovitve po nesreči in podporo za izbris podatkov na zahtevo v skladu z GDPR ali drugimi zakoni o zasebnosti. Kontrole odstranjevanja se uveljavljajo v skladu z NIST SP 800-88 ali enakovrednimi standardi ter zahtevajo nepovratne in dokumentirane metode uničenja za digitalne in papirne medije. Pravno zadržanje in odlog izbrisa preglasita običajne urnike brisanja v primeru pravdnega postopka ali preiskave, vse izjeme od načrtovane hrambe pa zahtevajo oceno tveganja in podpis vodstva. Dejavnosti uveljavljanja in skladnosti vključujejo periodične presoje, preverjanja skladnosti, poročanje o kršitvah in disciplinske ukrepe po potrebi. Politika zahteva tudi stalno usposabljanje za ozaveščanje o varnosti za osebje in za vsak primer kršitve ali incidenta odstranjevanja sklicuje Politiko odzivanja na incidente (P30). Z rednim pregledovanjem in posodabljanjem politike ter usklajevanjem povezanih dokumentov, kot sta politika nadzora dostopa in Upravljanje objektov in sredstev, organizacija zagotavlja zagovarljiv, učinkovit in s predpisi usklajen pristop k upravljanju življenjskega cikla podatkov.