mikä on tietojen Säilyttämispolitiikka?
tietojen säilyttämispolitiikka on yhtiön vakiintunut protokolla, jolla säilytetään tietoja tietyn ajan. Sitä voidaan kutsua myös tietueiden säilyttämiskäytännöksi tai varmuuskopion säilyttämiskäytännöksi. Tavoitteena on suojata tietosi ja varmistaa tiettyjen liiketoiminnan tarpeiden, toimialan ohjeiden tai lakisääteisten vaatimusten noudattaminen.
kattavassa tietojen säilyttämispolitiikassa ja arkistojen hallintasuunnitelmassa kerrotaan, miksi yritys haluaa säilyttää tietyt tiedot ja missä se tallentaa tai arkistoi nämä tiedot. Käytäntöön olisi sisällyttävä myös tiedot siitä, kuka on vastuussa kustakin tietotyypistä ja miten se poistetaan (tai puhdistetaan) säilyttämisajan päättyessä.
tietojen säilyttämiskäytännössä olisi myös määriteltävä varmuuskopiointimenettelyt, joiden avulla yritys voi toipua, jos se kokee tietojen häviämisen.
miksi tietojen Säilyttämispolitiikka on tärkeä?
säännölliset varmuuskopiot ja arkistointi
asianmukaiset tietojen varmuuskopiot ovat välttämättömiä liiketoiminnan jatkuvuussuunnitelmasi kannalta, kun kohtaat odottamattomia katastrofeja. Oletetaan, että organisaatiolla ei ole kattavia tietojen varmuuskopiointitoimenpiteitä. Tässä tapauksessa palautuminen katastrofeista on puutteellista ja vaikuttaa liiketoiminnan jatkuvuuteen, koska asianmukaisen toiminnan edellyttämiä tietoja ja tietueita ei ole saatavilla.
toisaalta liiallinen tietojen varmuuskopiointi voi aiheuttaa sekaannusta toipumisprosessin aikana. Lisäksi tarpeeton säilyttäminen ja täydet varmuuskopiot voivat kuluttaa kallista tallennustilaa ja vähentää verkon käyttönopeutta.
näin ollen tietojen säilyttämispolitiikka auttaa varmistamaan, että yritys säilyttää tai varmuuskopioi asianmukaiset tiedot sopivan ajan.
virtaviivainen tiedonhallinta
säilyttämispolitiikka on osa yrityksen yleistä tiedonhallintastrategiaa. Organisaation on hahmoteltava kaikki erityyppiset tiedot ja tallenteet, jotka se säilyttää ja kuinka kauan kutakin tyyppiä olisi säilytettävä ja varmuuskopioitava. Käytäntö auttaa varmistamaan, että vanhentuneet tai päällekkäiset tiedot hävitetään asianmukaisesti, jolloin on helpompi löytää tietoja, jotka ovat edelleen merkityksellisiä ja hyödyllisiä.
lakien ja määräysten noudattaminen
tehokas tiedonhallinta ja arkistojen hallinta voi tukea ydinliiketoimintoja ja auttaa organisaatiota täyttämään lakisääteiset ja lakisääteiset velvoitteensa. Viime vuosina keskittyminen tietosuojaan on lisääntynyt, mikä on johtanut entistä monimutkaisempiin lakeihin ja säädöksiin maailmanlaajuisesti.
esimerkiksi yhdysvaltalaisten julkisesti noteerattujen yhtiöiden on otettava käyttöön säilytyspolitiikka, joka täyttää Sarbanes-Oxley Act (SOX) – laissa määritellyt tietojen säilyttämistä koskevat vaatimukset. Samoin terveydenhuollon organisaatioihin sovelletaan Health Insurance Portability and Accountability Act (HIPAA) – lain (Health Insurance Portability and Accountability Act) tietojen säilyttämisvaatimuksia.
lisäksi yritysten, jotka käsittelevät asiakasmaksuja (esim.luottokorteilla), on noudatettava tietojen säilyttämistä ja tietojen hävittämistä koskevia vaatimuksia, jotka on määritelty maksukorttialan Tietoturvastandardissa (PCI DSS).
kaikkien EU-kansalaisten henkilötietoja maailmanlaajuisesti keräävien ja käsittelevien yritysten on noudatettava Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) tietojen säilyttämisvaatimuksia. GDPR: n tietosuojalain noudattamiseksi tietojen säilyttämiskäytännöissä on selitettävä, mitä kerätään, miksi niitä kerätään, missä niitä säilytetään, ja säilytysaika.
näiden lakien noudattamisen lisäksi tietojen säilyttämiskäytäntö voi auttaa organisaatiota varmistamaan, että sen tietojen tietosuoja ja luottamuksellisuus säilytetään. Se voi myös suojata yritystä sääntöjen vastaisilta sakoilta tai muilta rankaisevilta toimilta ja tulevilta oikeudellisilta vastuilta.
täyttävät liiketoiminnan tarpeet
organisaatioilla voi olla myös erityisiä sopimus-ja liiketoimintatarpeita, jotka edellyttävät tietojen säilyttämispolitiikkaa. Näin ollen toimintaperiaatteissa olisi täsmennettävä, kuinka kauan yhtiö säilyttää tiettyjä tietoja ja miten se aikoo tehdä poikkeuksia oikeusjuttujen tai muiden häiriötilanteiden yhteydessä.
kuinka määrittää asianmukainen tietojen säilyttäminen
tehokkaan tietojen säilyttämispolitiikan toteuttamiseksi yrityksen on ensin yksilöitävä, minkä tyyppisiä tietoja se tallentaa. Sitten, se on luokiteltava, että tiedot. Nämä vaiheet ovat ratkaisevan tärkeitä, koska tietojen” asianmukainen ” säilyttäminen riippuu usein säilytettävien tietojen tyypistä.
myös tietojen elinkaarella tai säilytysajalla on merkitystä. Jotkut tiedot voidaan luokitella lyhyen tallennusajan ennen automaattista poistamista, kuten standalone sähköpostit. Vaikka muut tietueet, kuten myyntisopimukset ja niihin liittyvät tiedot, on säilytettävä useita vuosia.
esimerkiksi terveydenhuollon organisaatiot tallentavat henkilökohtaisia tietoja (PII), kuten potilaan nimi, syntymäaika, sosiaaliturvatunnus ja lääketieteelliset tiedot. Finanssipalveluyritykset tallentavat asiakkaiden luottopisteitä, maksuhistoriaa ja lainatietoja. Säilyttämispolitiikassa olisi otettava huomioon jokainen näistä tietotyypeistä ja annettava asianmukaiset elinkaaret sen mukaisesti.
onnistuneen tietojen Säilyttämiskäytännön Keskeiset osat
tietojen säilyttämiskäytännön tulisi kattaa se, miten organisaatio varmuuskopioi, Arkistoi ja poistaa sekä paperipohjaiset että digitaaliset tietueet. Päätösasiakirjan olisi oltava kokonaisvaltainen ja yhtenäinen useiden ryhmien panosten kanssa, ja sitä olisi sovellettava koko yrityksessä. Politiikkaa voidaan päivittää tai tarkistaa, ja näistä tarkistuksista olisi pidettävä kirjaa asiakirjassa.
tietojen säilyttämis-tai varmuuskopiointikäytäntö voi sisältää joitakin tai kaikkia seuraavista osioista:
sovellettavat oikeudelliset ja liiketoiminnalliset vaatimukset
tässä osiossa olisi eriteltävä tietojen säilyttämisen ja varmuuskopioinnin liiketoiminta ja oikeudellinen tarve. Sitä pitäisi päivittää vaatimusten ja säädösten muuttuessa.
tietojen säilytysmenetelmät
jokaisella tietueella ja tietotyypillä on erilaiset säilytysajat ja prosessit. Mieti, missä tietoja säilytetään, miten ne varmuuskopioidaan ja kuinka kauan. Määritä rooli tai tiimi, joka omistaa kunkin tietotyypin ja on vastuussa sen hallinnoinnista. On myös tärkeää mainita, minkä tyyppisiä tietueita ei tarvitse säilyttää ja ne voidaan poistaa välittömästi.
tietojen Hävittämismenettelyt
on tärkeää korostaa, miten tietueet poistetaan, kun säilytysaika on kulunut umpeen. Määritä paperisten asiakirjojen tuhoamisprosessi. Yksityiskohtaiset tiedot siitä, mitkä sähköiset asiakirjat on poistettava manuaalisesti, ja mitkä niistä poistetaan automaattisesti järjestelmässä.
tietojen Arkistointimenettelyt
joitakin tietoja ei välttämättä tarvita päivittäiseen käyttöön, mutta ne on silti arkistoitava oikeudellisista tai sääntelyyn liittyvistä syistä. Arkistointimenettelyt määrittelevät asiakirjatyypit, tallennuspaikat ja hakuprosessit.
ehkä joitakin paperisia asiakirjoja säilytetään paikan ulkopuolella haettavaksi vain tarvittaessa. Tiettyjä sähköisiä asiakirjoja voidaan tallentaa eri palvelimille nopean vasteajan varmistamiseksi ja sotkujen välttämiseksi paikallisilla palvelimilla.
Poikkeusprosessit
organisaatiolla voi olla joitakin poikkeuksia vakiomuotoisiin tietojen säilyttämis -, hävittämis-tai arkistointimenettelyihinsä. On tärkeää selventää näitä poikkeuksia tietojen säilyttämiskäytännössä, jotta varmistetaan, ettei sekaannusta tai väärinkäsityksiä ole.
asianmukaiset vastaukset löytö -, Lakipyyntöihin tai Tarkastuspyyntöihin
jos löydös -, lakipyyntö-tai tarkastuspyyntöön joskus tulee, organisaatiolla tulee olla standardoitu vastaus. Tässä osiossa olisi määriteltävä vastausprosessi, kuka on vastuussa vastauksesta ja miten se dokumentoidaan.
edellä mainittujen kohtien lisäksi kattavan säilytyspolitiikan tulee sisältää seuraavat tiedot::
- yrityksen nimi ja yhteystiedot
- Versionvalvonta
- politiikan tarkoitus
- asianomaiset sidosryhmät
- käytetyt keskeiset termit
- mukana olevan henkilöstön tehtävät ja vastuut
parhaat käytännöt tietojen varmuuskopioimiseksi
tallennustila voi olla kallista, eikä jokaista Datapalaa tarvitse varmuuskopioida. Kun se tulee tietojen säilyttäminen ja varmuuskopiot, jokaisen organisaation tarpeet ovat erilaisia. Varmuuskopiointistrategiaa, taajuutta tai säilytysaikoja koskevia sääntöjä ei ole. Organisaation on arvioitava vaatimuksiaan kokonaisvaltaisesti kehittäessään tietojen säilyttämispolitiikkaansa.
on kuitenkin olemassa useita hyviä käytäntöjä, joita organisaatiot voivat harkita aloittaakseen:
tunnistaa ja luokitella tietotyypit
luokittelemalla tietoja voidaan tunnistaa, mitä tietoja on varmuuskopioitava tai arkistoitava ja kuinka kauan. Nämä kysymykset voivat auttaa määrittämään, onko tietyntyyppisiä tietoja tarpeen varmuuskopioida:
- onko data Nyt kriittistä?
- pysyykö se todennäköisesti kriittisenä tulevaisuudessa?
- onko se henkistä omaisuutta?
- onko kyse luottamuksellisista liikesalaisuuksista?
- onko se pysyvä asiakirja?
yksilöi lakisääteiset vaatimukset
tässä tärkein kysymys on: ovatko tiedot tarpeellisia vaatimustenmukaisuutta tai tarkastuksia varten?
organisaatioiden on määritettävä, onko tietojen varmuuskopiointiin tietyn ajanjakson ajan olemassa lainsäädännöllisiä tai lainsäädännöllisiä vaatimuksia ja hallinnoitava varmuuskopiointikäytäntöjään sen mukaisesti.
tunnista liiketoiminnan vaatimukset
varmuuskopiointikäytännössä on otettava huomioon organisaation liiketoiminnan vaatimukset suhteessa kuhunkin tietotyyppiin ja miten ne varmuuskopioidaan. Tämä voi riippua tietojen häviämisen todennäköisyydestä, tietojen suhteellisesta merkityksestä ja siitä, kuinka usein tietoja päivitetään.
täsmentäkää oleelliset tiedot
politiikan tulee sisältää muun muassa:
- Varmuuskopiotaajuus
- säilytysaika
- Salausvaatimukset
- Käyttöoikeustavat
- henkilöstö, jolla on lupa käyttää varmuuskopiotietoja
tee ZenGRC osaksi Tietosuojasuunnitelmaasi
kun organisaatiot tuottavat ja kuluttavat-kasvava määrä tietoa, he usein kamppailevat asianmukaisesti käyttää, tallentaa, arkistoida, ja tuhota sitä. Tietojen elinkaaren manuaalinen hallinta ei ole mahdollista, koska se on tehotonta, resurssikestävää ja voi aiheuttaa vakavia turvallisuus-ja vaatimustenmukaisuusriskejä.
näihin haasteisiin tarvitaan automaattinen tietojen säilyttämisen hallinta-ja varmuuskopiointiratkaisu. Tässä kattava alusta, kuten ZenGRC, tarjoaa tarvitsemasi mukavuudet ja ominaisuudet. ZenGRC voidaan helposti sisällyttää yrityksen tietojen säilyttämisstrategiaan, jotta se täyttää vaivattomasti lakisääteiset ja lakisääteiset vaatimukset.
ZenGRC mahdollistaa organisaatioiden automatisoida niiden tietojen elinkaaren, tarjoaa puolustettavissa auditointiominaisuudet, valvoo jäsennelty säilyttäminen politiikkaa, ja ylläpitää seurattavaa tilivelvollisuutta. Hanki demo ja lue lisää zengrc: n automaatiotyöskentelystä, integraatioista ja kokoonpanoista.
Leave a Reply