Hva Er En Dataoppbevaringspolicy?
en dataoppbevaringspolicy er et selskaps etablerte protokoll for å holde poster i en bestemt tidsperiode. Det kan også kalles en policy for oppbevaring av poster eller en policy for sikkerhetskopiering. Målet er å sikre dataene dine og sikre samsvar med bestemte forretningsbehov, bransjens retningslinjer eller juridiske krav.
en omfattende dataoppbevaringspolicy og arkivhåndteringsplan beskriver årsakene til at et selskap ønsker å beholde bestemte poster og hvor det vil lagre eller arkivere disse dataene. Policyen bør også inneholde informasjon om hvem som er ansvarlig for hver type data og hvordan den vil bli slettet (eller renset) ved slutten av oppbevaringsperioden.
en dataoppbevaringspolicy bør også angi prosedyrer for sikkerhetskopiering for å hjelpe et selskap med å gjenopprette hvis de opplever tap av data.
Hvorfor Er En Dataoppbevaringspolicy Viktig?
Regelmessig Sikkerhetskopiering Og Arkivering
Riktig sikkerhetskopiering av data er avgjørende for kontinuitetsplanen din når du står overfor uventede katastrofer. Anta at en organisasjon ikke har omfattende data backup tiltak på plass. I så fall vil katastrofegjenoppretting være ufullstendig og påvirke forretningskontinuitet på grunn av manglende tilgang til dataene og postene som kreves for å fungere skikkelig.
på den annen side kan sikkerhetskopiering av for mye data føre til forvirring under gjenopprettingsprosessen. Videre kan unødvendig oppbevaring og full sikkerhetskopiering forbruke dyr lagringsplass og redusere nettverkstilgangshastigheten.
dermed bidrar en dataoppbevaringspolicy til å sikre at virksomheten beholder eller sikkerhetskopierer de riktige dataene i en passende tidsperiode.
Strømlinjeformet Databehandling
en oppbevaringspolicy er en del av foretakets overordnede strategi for databehandling. Organisasjonen må skissere alle de forskjellige typer data og poster som den beholder og hvor lenge hver type skal lagres og sikkerhetskopieres. Policyen bidrar til å sikre at utdaterte eller dupliserte data kastes på riktig måte, noe som gjør det enklere å finne data som fortsatt er relevante og nyttige.
Juridisk Og Forskriftsmessig Samsvar
Effektiv datahåndtering og arkivbehandling kan støtte kjernevirksomhetsfunksjoner og hjelpe organisasjonen med å oppfylle sine juridiske, lovbestemte og forskriftsmessige forpliktelser. De siste årene har fokuset på personvern økt, noe som har resultert i mer komplekse lover og forskrifter over hele verden.
som et eksempel må børsnoterte selskaper i Usa etablere en oppbevaringspolicy for å oppfylle kravene til datalagring som er skissert i SARBANES-Oxley Act (SOX). På samme måte er helseorganisasjoner underlagt kravene til datalagring i Helseforsikringsportabilitet Og Ansvarslov (HIPAA).
i tillegg må selskaper som behandler kundebetalinger (f.eks. via kredittkort) overholde kravene til datalagring og avhending av data som er angitt i Payment Card Industry Data Security Standard (PCI DSS).
ethvert selskap globalt som samler inn OG behandler personopplysninger OM EU-borgere, må overholde kravene til datalagring i Eus Generelle Databeskyttelsesforordning (GDPR). For å overholde GDPR databeskyttelsesloven må datalagringspolicyer forklare hva som samles inn, hvorfor det samles inn, hvor det holdes og oppbevaringsperioden.
i Tillegg til å oppnå samsvar med disse lovene, kan en datalagringspolicy hjelpe en organisasjon til å sikre at personvernet og konfidensialiteten til dataene opprettholdes. Det kan også beskytte firmaet mot manglende overholdelse av bøter eller andre straffende handlinger og fremtidige juridiske forpliktelser.
Oppfylle Forretningsbehov
Organisasjoner kan også ha spesifikke kontraktsmessige og forretningsbehov som krever en policy for datalagring. Som sådan bør politikken angi hvor lenge selskapet vil beholde bestemte datasett og hvordan det planlegger å gjøre unntak i tilfelle søksmål eller andre forstyrrelser.
Slik Fastslår Du Riktig Datalagring
for å implementere en effektiv datalagringspolicy må selskapet først identifisere hvilke typer data det lagrer. Deretter må det klassifisere disse dataene. Disse trinnene er avgjørende fordi” riktig ” datalagring ofte avhenger av hvilken type data som skal beholdes.
datalevetiden eller oppbevaringsperioden er også viktig. Noen data kan klassifiseres med en kort lagringsperiode før automatisert sletting, som frittstående e-poster. Mens andre poster, som salgskontrakter og tilhørende detaljer, må lagres i mange år.
for eksempel lagrer helseorganisasjoner personlig identifiserbar informasjon (PII), for eksempel pasientens navn, fødselsdato, Personnummer og medisinske data. Finansielle tjenester selskaper lagre kundenes kreditt score, betaling historie og lån informasjon. Oppbevaringspolicyen bør vurdere hver av disse datatypene og tilordne passende livssykluser tilsvarende.
Nøkkelkomponenter I En Vellykket Dataoppbevaringspolicy
en dataoppbevaringspolicy bør dekke hvordan organisasjonen skal sikkerhetskopiere, arkivere og slette både papirbaserte og digitale poster. Det endelige dokumentet skal være helhetlig og sammenhengende med innspill fra flere grupper og gjelder for hele virksomheten. Retningslinjene kan oppdateres eller revideres, og en oversikt over disse revisjonene skal opprettholdes i dokumentet.
en policy for datalagring eller sikkerhetskopiering av data kan inneholde noen eller alle av følgende deler:
Gjeldende Juridiske Og Forretningsmessige Krav
denne delen skal detaljere det forretningsmessige og juridiske behovet for datalagring og sikkerhetskopiering. Det bør oppdateres etter hvert som krav og forskrifter endres.
Prosedyrer For Datalagring
hver post-og datatype har forskjellige oppbevaringsperioder og prosesser. Vurder hvor dataene vil bli beholdt, hvordan det vil bli sikkerhetskopiert, og hvor lenge. Angi rollen eller gruppen som eier hver datatype og er ansvarlig for å administrere den. Det er også viktig å nevne hvilke typer poster som ikke må beholdes og kan slettes umiddelbart.
Data Destruksjonsprosedyrer
det er viktig å markere hvordan poster vil bli slettet når oppbevaringstiden er ute. Angi prosessen for å ødelegge papirdokumenter. Detalj hvilke elektroniske dokumenter må slettes manuelt versus hvilke som blir automatisk renset av systemet.
Dataarkiveringsprosedyrer
noen data er kanskje ikke påkrevd for daglig bruk, men må fortsatt arkiveres av juridiske eller forskriftsmessige årsaker. Arkivprosedyrer angir dokumenttyper, lagringsplasseringer og gjenfinningsprosesser.
kanskje noen papirdokumenter er lagret off-site for henting bare hvis det er nødvendig. Visse elektroniske dokumenter kan lagres på forskjellige servere for å sikre rask responstid og unngå rot på lokale servere.
Unntaksprosesser
organisasjonen kan ha noen unntak fra standardprosedyrer for datalagring, ødeleggelse eller arkivering. Det er viktig å avklare disse unntakene i datalagringspolicyen for å sikre at det ikke er forvirring eller feilkommunikasjon.
Riktige Svar På Forespørsler Om Oppdagelse, Legal Eller Revisjon
hvis det noen gang er en forespørsel om oppdagelse, legal eller revisjon, bør organisasjonen ha et standardisert svar. Denne delen skal angi prosessen for å svare, hvem som er ansvarlig for å gjøre svaret, og hvordan det skal dokumenteres.
i tillegg til de ovennevnte avsnittene, bør en omfattende oppbevaringspolicy inneholde følgende:
- firmanavn og kontaktinformasjon
- Versjonskontroll
- Policyformål
- Berørte interessenter
- nøkkelbegreper som brukes
- Roller og ansvar for personell som er involvert
Beste Praksis For Sikkerhetskopiering Av Data
lagringsplass kan være dyrt, og alle data trenger ikke sikkerhetskopieres. Når det gjelder dataoppbevaring og sikkerhetskopiering, er hver organisasjons behov forskjellige. Det er ingen faste regler om backup strategi, frekvens, eller oppbevaringsperioder. En organisasjon må vurdere sine krav helhetlig når du utvikler sin dataoppbevaringspolicy.
det Finnes imidlertid flere anbefalte fremgangsmåter som organisasjoner kan vurdere for å komme i gang:
Identifisere Og Klassifisere Datatyper
Klassifisering av data kan bidra til å identifisere hvilke data som må sikkerhetskopieres eller arkiveres, og hvor lenge. Disse spørsmålene kan bidra til å avgjøre om en bestemt type data må sikkerhetskopieres:
- er dataene kritiske nå?
- er det sannsynlig å forbli kritisk i fremtiden?
- er det proprietær intellektuell eiendom?
- utgjør det konfidensielle forretningshemmeligheter?
- Er det et permanent dokument?
Identifiser Juridiske Krav
her er det viktigste spørsmålet: er dataene nødvendige for overholdelse eller revisjoner?
Organisasjoner må avgjøre om det er juridiske eller forskriftsmessige krav for å sikkerhetskopiere data i en viss tidsperiode og administrere deres sikkerhetskopieringspolicy tilsvarende.
Identifiser Forretningskrav
sikkerhetskopieringspolicyen må ta hensyn til organisasjonens forretningskrav i forhold til hver datatype og hvordan de sikkerhetskopieres. Dette kan avhenge av sannsynligheten for tap av data, den relative betydningen av dataene, og hvor ofte dataene oppdateres.
Angi Relevante Detaljer
policyen må inneholde detaljer som:
- Sikkerhetskopieringsfrekvens
- Oppbevaringsperiode
- Krypteringskrav
- tilgangsmetoder
- Personell som er autorisert til å få tilgang til sikkerhetskopieringsdataene
Gjør ZenGRC Til En Del Av Databeskyttelsesplanen
som organisasjoner genererer og forbruker stadig økende mengder data, de ofte sliter med å riktig bruke, lagre, arkivere, og ødelegge det. Det er ikke mulig å administrere datalivssyklusen manuelt fordi den er ineffektiv, ressurskrevende og kan skape alvorlige sikkerhets-og samsvarsrisikoer.
en automatisert datalagringsregistrerings-og sikkerhetskopiløsning er nødvendig for å løse disse utfordringene. Her er der en omfattende plattform som ZenGRC gir bekvemmeligheter og funksjoner du trenger. ZenGRC kan enkelt innlemmes i en virksomhets dataoppbevaringsstrategi for å enkelt oppfylle juridiske og regulatoriske krav.
ZenGRC gjør det mulig for organisasjoner å automatisere sine data livssyklus, gir forsvarlig revisjon evner, håndhever strukturerte oppbevaringspolicyer, og opprettholder sporbar ansvarlighet. Få en demo og lær mer Om zengrcs automatiseringsarbeidsflyter, integrasjoner og konfigurasjoner.
Leave a Reply