co je politika uchovávání údajů?
zásady uchovávání údajů jsou zavedeným protokolem společnosti pro vedení záznamů po stanovenou dobu. Může se také nazývat zásady uchovávání záznamů nebo zásady uchovávání záloh. Cílem je zabezpečit vaše data a zajistit soulad s konkrétními obchodními potřebami, průmyslovými pokyny nebo zákonnými požadavky.
komplexní zásady uchovávání údajů a plán správy záznamů podrobně popisují důvody, proč společnost chce uchovávat konkrétní záznamy a kam bude tato data ukládat nebo archivovat. Zásady by měly také obsahovat informace o tom, kdo je zodpovědný za každý typ údajů a jak budou vymazány (nebo vymazány) na konci doby uchovávání.
zásady uchovávání dat by měly také specifikovat postupy ukládání záloh, které společnosti pomohou obnovit, pokud dojde ke ztrátě dat.
proč je politika uchovávání údajů důležitá?
pravidelné zálohování a archivace
správné zálohování dat jsou nezbytné pro váš plán kontinuity podnikání, když čelíte neočekávaným katastrofám. Předpokládejme, že organizace nemá zavedena komplexní opatření pro zálohování dat. V takovém případě bude obnovení po havárii neúplné a ovlivní kontinuitu podnikání z důvodu nedostatečného přístupu k datům a záznamům potřebným pro správnou funkci.
na druhé straně zálohování příliš velkého množství dat může způsobit zmatek během procesu obnovy. Navíc zbytečné uchovávání a úplné zálohy mohou spotřebovat drahý úložný prostor a snížit rychlost přístupu k síti.
zásady uchovávání údajů tedy pomáhají zajistit, aby podnik uchoval nebo zálohoval příslušné údaje po vhodnou dobu.
Zjednodušená Správa dat
politika uchovávání je součástí celkové strategie správy dat podniku. Organizace musí nastínit všechny různé typy dat a záznamů, které si uchovává, a jak dlouho by měl být každý typ uložen a zálohován. Tyto zásady pomáhají zajistit, aby zastaralá nebo duplikovaná data byla náležitě zlikvidována, což usnadňuje nalezení dat, která jsou stále relevantní a užitečná.
dodržování právních předpisů
Efektivní správa dat a správa záznamů může podporovat základní obchodní funkce a pomáhat organizaci plnit její zákonné, zákonné a regulační povinnosti. V posledních letech se důraz na ochranu osobních údajů zvýšil, což vedlo ke složitějším zákonům a předpisům po celém světě.
veřejně obchodované společnosti ve Spojených státech musí například zavést politiku uchovávání údajů, aby splnily požadavky na uchovávání údajů uvedené v Sarbanes-Oxley Act (SOX). Podobně zdravotnické organizace podléhají požadavkům na uchovávání údajů podle zákona o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA).
kromě toho musí společnosti, které zpracovávají platby zákazníků (např. prostřednictvím kreditních karet), dodržovat požadavky na uchovávání a likvidaci dat uvedené ve standardu PCI DSS (Payment Card Industry Data Security Standard).
každá společnost na celém světě, která shromažďuje a zpracovává osobní údaje občanů EU, musí dodržovat požadavky na uchovávání údajů stanovené obecným nařízením Evropské unie o ochraně údajů (GDPR). V souladu se zákonem o ochraně údajů GDPR musí zásady uchovávání údajů vysvětlovat, co se shromažďuje, proč se shromažďuje, kde se uchovává, a dobu uchovávání.
kromě dosažení souladu s těmito zákony mohou zásady uchovávání údajů pomoci organizaci zajistit zachování soukromí a důvěrnosti jejích údajů. Může také chránit firmu před pokutami za nedodržení předpisů nebo jinými represivními opatřeními a budoucími právními závazky.
uspokojte obchodní potřeby
organizace mohou mít také specifické smluvní a obchodní potřeby, které vyžadují politiku uchovávání dat. Jako takový, politika by měla specifikovat, jak dlouho bude společnost uchovávat konkrétní datové soubory a jak plánuje udělit výjimky v případě soudních sporů nebo jiných narušení.
jak určit vhodné uchovávání údajů
Chcete-li implementovat efektivní politiku uchovávání údajů, musí společnost nejprve identifikovat typy dat, které ukládá. Pak musí tato data klasifikovat. Tyto kroky jsou zásadní, protože” vhodné ” uchovávání dat často závisí na typu dat, která mají být uchována.
záleží také na životním cyklu nebo době uchovávání dat. Některá data lze před automatickým vymazáním klasifikovat s krátkou dobou ukládání, jako jsou samostatné e-maily. Zatímco jiné záznamy, jako jsou kupní smlouvy a související podrobnosti, musí být uloženy po mnoho let.
zdravotnické organizace například ukládají osobní identifikační údaje (PII), jako je jméno pacienta, datum narození, číslo sociálního zabezpečení a lékařské údaje. Společnosti poskytující finanční služby ukládají kreditní skóre zákazníků, historii plateb a informace o půjčce. Zásady uchovávání údajů by měly zvážit každý z těchto typů údajů a odpovídajícím způsobem přiřadit vhodné životní cykly.
klíčové komponenty úspěšné zásady uchovávání údajů
zásady uchovávání údajů by měly zahrnovat, jak organizace bude zálohovat, archivovat a mazat papírové i digitální záznamy. Konečný dokument by měl být holistický a soudržný se vstupy z více skupin a platí v celém podniku. Zásady lze aktualizovat nebo revidovat, a záznam o těchto revizích by měl být udržován v dokumentu.
zásady uchovávání nebo zálohování dat mohou zahrnovat některé nebo všechny následující oddíly:
platné právní a obchodní požadavky
tato část by měla podrobně popsat obchodní a právní potřebu uchovávání a zálohování dat. Měla by být aktualizována, jak se mění požadavky a předpisy.
postupy uchovávání údajů
každý záznam a typ dat budou mít různé doby uchovávání a procesy. Zvažte, kde budou data uchovávána, jak budou zálohována a jak dlouho. Určete roli nebo tým, který vlastní každý datový typ a je zodpovědný za jeho správu. Je také důležité zmínit, které typy záznamů není třeba uchovávat a lze je okamžitě smazat.
postupy zničení dat
je důležité zdůraznit, jak budou záznamy odstraněny, když vyprší doba uchovávání. Určete proces ničení papírových dokumentů. Detail, které elektronické dokumenty je třeba ručně odstranit, versus které jsou systémem automaticky vymazány.
postupy archivace údajů
některé údaje nemusí být vyžadovány pro každodenní použití, ale musí být stále archivovány z právních nebo regulačních důvodů. Archivní postupy specifikují typy dokumentů, umístění úložiště a procesy vyhledávání.
možná jsou některé papírové dokumenty uloženy mimo lokalitu pro vyhledávání pouze v případě potřeby. Některé elektronické dokumenty mohou být uloženy na různých serverech, aby byla zajištěna rychlá doba odezvy a aby nedošlo k nepořádku na lokálních serverech.
procesy výjimek
organizace může mít některé výjimky ze svých standardních postupů uchovávání, ničení nebo archivace dat. Je důležité vyjasnit tyto výjimky v zásadách uchovávání údajů, aby nedošlo k záměně nebo nesprávné komunikaci.
správné odpovědi na žádosti o objev, právní nebo Audit
pokud někdy existuje žádost o objev, právní nebo audit, měla by mít organizace standardizovanou odpověď. Tato část by měla specifikovat proces odpovědi, kdo je zodpovědný za provedení odpovědi, a jak to bude zdokumentováno.
kromě výše uvedených oddílů by komplexní zásady uchovávání měly zahrnovat následující:
- název společnosti a kontaktní údaje
- kontrola verzí
- účel politiky
- dotčené zúčastněné strany
- klíčové pojmy použité
- role a odpovědnosti zúčastněných pracovníků
osvědčené postupy pro zálohování dat
úložný prostor může být drahý a každý kus dat nemusí být zálohován. Pokud jde o uchovávání dat a zálohování, potřeby každé organizace jsou jiné. Nejsou stanovena žádná pravidla týkající se strategie zálohování, frekvence nebo retenčních období. Organizace musí při vývoji své politiky uchovávání údajů holisticky posoudit své požadavky.
existuje však několik osvědčených postupů, které mohou organizace zvážit, aby mohly začít:
Identifikujte a klasifikujte datové typy
klasifikace dat může pomoci určit, která data je třeba zálohovat nebo archivovat a na jak dlouho. Tyto otázky mohou pomoci určit, zda je třeba zálohovat určitý typ dat:
- jsou nyní data kritická?
- je pravděpodobné, že v budoucnu zůstane kritická?
- je to vlastnické duševní vlastnictví?
- představuje důvěrné obchodní tajemství?
- je to trvalý dokument?
Identifikujte právní požadavky
zde je nejdůležitější otázkou: jsou údaje nezbytné pro dodržování předpisů nebo audity?
organizace musí určit, zda existují zákonné nebo regulační požadavky na zálohování dat po určitou dobu a podle toho spravovat své zásady zálohování.
Identifikujte obchodní požadavky
zásady zálohování musí brát v úvahu obchodní požadavky organizace ve vztahu ke každému typu dat a způsobu jejich zálohování. To může záviset na pravděpodobnosti ztráty dat, relativní důležitosti dat a na tom, jak často jsou data aktualizována.
zadejte příslušné údaje
zásady musí obsahovat podrobnosti, jako je:
- frekvence zálohování
- doba uchovávání
- požadavky na Šifrování
- přístupové metody
- pracovníci oprávněni přistupovat k záložním datům
činí ZenGRC součástí vašeho plánu ochrany dat
vzhledem k tomu, že organizace generují a spotřebovávají stále rostoucí množství dat, často se snaží vhodně je používat, ukládat, archivovat a ničit. Ruční správa životního cyklu dat není proveditelná, protože je neefektivní, náročná na zdroje a může vytvářet vážná rizika zabezpečení a dodržování předpisů.
k řešení těchto problémů je zapotřebí automatizované řešení pro správu a zálohování záznamů o uchovávání dat. Zde je místo, kde komplexní platforma jako ZenGRC poskytuje vymoženosti a funkce, které potřebujete. ZenGRC lze snadno začlenit do obchodní strategie uchovávání dat, aby bylo možné bez námahy splnit právní a regulační požadavky.
ZenGRC umožňuje organizacím automatizovat jejich životní cyklus dat, poskytuje obhajitelné funkce auditu, prosazuje strukturované zásady uchovávání a udržuje sledovatelnou odpovědnost. Získejte ukázku a dozvíte se více o automatizačních pracovních postupech, integracích a konfiguracích ZenGRC.
Leave a Reply