co to jest polityka przechowywania danych?
Polityka przechowywania danych to ustanowiony przez firmę protokół do przechowywania dokumentacji przez określony czas. Może to być również nazywane Polityką przechowywania rekordów lub Polityką przechowywania kopii zapasowych. Celem jest zabezpieczenie Twoich danych i zapewnienie zgodności z konkretnymi potrzebami biznesowymi, wytycznymi branżowymi lub wymaganiami prawnymi.
kompleksowa polityka przechowywania danych i plan zarządzania rejestrami wyszczególniają powody, dla których firma chce zachować określone rejestry i gdzie będzie przechowywać lub archiwizować te dane. Polityka powinna również zawierać informacje o tym, kto jest odpowiedzialny za każdy rodzaj danych i w jaki sposób zostaną one usunięte (lub usunięte) po zakończeniu okresu przechowywania.
zasady przechowywania danych powinny również określać procedury przechowywania kopii zapasowych, aby pomóc firmie odzyskać utracone dane.
dlaczego Polityka przechowywania danych jest ważna?
regularne tworzenie kopii zapasowych i archiwizacja
prawidłowe tworzenie kopii zapasowych danych ma zasadnicze znaczenie dla planu ciągłości działania w obliczu nieoczekiwanych katastrof. Załóżmy, że organizacja nie ma kompleksowych środków do tworzenia kopii zapasowych danych. W takim przypadku odzyskiwanie po awarii będzie niekompletne i wpłynie na ciągłość działania z powodu braku dostępu do danych i rejestrów wymaganych do prawidłowego funkcjonowania.
z drugiej strony tworzenie kopii zapasowej zbyt dużej ilości danych może powodować zamieszanie podczas procesu odzyskiwania. Co więcej, niepotrzebne przechowywanie i pełne kopie zapasowe mogą zużywać kosztowną przestrzeń dyskową i zmniejszać szybkość dostępu do sieci.
tak więc polityka przechowywania danych pomaga zapewnić, że firma zachowuje lub tworzy kopie zapasowe odpowiednich fragmentów danych przez odpowiedni czas.
usprawnione zarządzanie danymi
Polityka przechowywania jest częścią ogólnej strategii zarządzania danymi przedsiębiorstwa. Organizacja musi przedstawić wszystkie różne typy danych i rekordów, które przechowuje, oraz okres przechowywania i tworzenia kopii zapasowych każdego typu. Polityka ta pomaga w odpowiednim usuwaniu przestarzałych lub zduplikowanych danych, co ułatwia znalezienie danych, które są nadal istotne i użyteczne.
zgodność z Prawem i przepisami
efektywne zarządzanie danymi i rejestrami może wspierać podstawowe funkcje biznesowe i pomagać organizacji w wypełnianiu jej obowiązków prawnych, ustawowych i regulacyjnych. W ostatnich latach nacisk na prywatność danych wzrósł, co zaowocowało bardziej złożonymi przepisami i regulacjami na całym świecie.
na przykład spółki notowane na giełdzie w Stanach Zjednoczonych muszą ustanowić politykę przechowywania danych, aby spełnić wymagania dotyczące przechowywania danych określone w ustawie Sarbanes-Oxley Act (SOX). Podobnie organizacje opieki zdrowotnej podlegają wymogom dotyczącym przechowywania danych określonym w ustawie o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA).
ponadto firmy przetwarzające płatności klientów (np. za pośrednictwem kart kredytowych) muszą przestrzegać wymogów dotyczących przechowywania i usuwania danych określonych w Payment Card Industry Data Security Standard (PCI DSS).
każda firma na całym świecie, która gromadzi i przetwarza dane osobowe obywateli UE, musi przestrzegać wymogów dotyczących przechowywania danych określonych w ogólnym rozporządzeniu o ochronie danych Unii Europejskiej (RODO). Aby zachować zgodność z przepisami o ochronie danych GDPR, zasady przechowywania danych muszą wyjaśniać, co jest gromadzone, dlaczego jest gromadzone, gdzie jest przechowywane i okres przechowywania.
oprócz zapewnienia zgodności z tymi przepisami, Polityka przechowywania danych może pomóc organizacji w zapewnieniu prywatności i poufności jej danych. Może również chronić firmę przed grzywnami lub innymi działaniami karnymi i przyszłymi zobowiązaniami prawnymi.
zaspokajanie potrzeb biznesowych
organizacje mogą również mieć określone potrzeby umowne i biznesowe, które wymagają polityki przechowywania danych. W związku z tym polityka powinna określać, jak długo firma będzie przechowywać określone zbiory danych i w jaki sposób planuje wprowadzić wyjątki w przypadku procesów sądowych lub innych zakłóceń.
Jak określić odpowiednie przechowywanie danych
aby wdrożyć skuteczną politykę przechowywania danych, firma musi najpierw zidentyfikować rodzaje przechowywanych danych. Następnie musi sklasyfikować te dane. Kroki te są kluczowe, ponieważ” właściwe ” przechowywanie danych często zależy od rodzaju danych, które mają być przechowywane.
ważny jest również cykl życia lub okres przechowywania danych. Niektóre dane mogą być klasyfikowane z krótkim okresem przechowywania przed automatycznym usunięciem, np. samodzielne wiadomości e-mail. Podczas gdy inne zapisy, takie jak umowy sprzedaży i związane z nimi szczegóły, muszą być przechowywane przez wiele lat.
na przykład organizacje opieki zdrowotnej przechowują dane osobowe (PII), takie jak imię i nazwisko pacjenta, Data urodzenia, numer ubezpieczenia społecznego i dane medyczne. Firmy świadczące usługi finansowe przechowują wyniki kredytowe klientów, historię płatności i informacje o pożyczkach. Polityka przechowywania powinna uwzględniać każdy z tych typów danych i odpowiednio przydzielać odpowiednie cykle życia.
kluczowe elementy skutecznej polityki przechowywania danych
Polityka przechowywania danych powinna obejmować sposób tworzenia kopii zapasowych, archiwizowania i usuwania zarówno rekordów papierowych, jak i cyfrowych. Dokument końcowy powinien być holistyczny i spójny z wkładami wielu grup i mieć zastosowanie w całym przedsiębiorstwie. Polityka może być aktualizowana lub zmieniana, a zapis tych zmian powinien być przechowywany w dokumencie.
zasady przechowywania danych lub tworzenia kopii zapasowych mogą obejmować niektóre lub wszystkie z następujących sekcji:
obowiązujące wymagania prawne i biznesowe
Ta sekcja powinna szczegółowo określać potrzebę biznesową i prawną przechowywania danych i tworzenia kopii zapasowych. Powinien być aktualizowany wraz ze zmianą wymagań i przepisów.
procedury przechowywania danych
każdy rekord i typ danych będą miały różne okresy przechowywania i procesy. Zastanów się, gdzie dane będą przechowywane, jak będą przechowywane i jak długo. Określ rolę lub zespół, który jest właścicielem każdego typu danych i jest odpowiedzialny za zarządzanie nim. Ważne jest również, aby wspomnieć, które rodzaje rejestrów nie muszą być przechowywane i mogą zostać natychmiast usunięte.
procedury niszczenia danych
ważne jest, aby podkreślić, w jaki sposób rekordy zostaną usunięte po upływie czasu przechowywania. Określ proces niszczenia dokumentów papierowych. Wyszczególnij, które dokumenty elektroniczne muszą być ręcznie usuwane, a które są automatycznie usuwane przez system.
procedury archiwizacji danych
niektóre dane mogą nie być wymagane do codziennego użytku, ale nadal muszą być archiwizowane ze względów prawnych lub regulacyjnych. Procedury archiwizacji określają typy dokumentów, miejsca przechowywania i procesy pobierania.
być może niektóre dokumenty papierowe są przechowywane poza zakładem do pobrania tylko w razie potrzeby. Niektóre dokumenty elektroniczne mogą być przechowywane na różnych serwerach, aby zapewnić szybki czas reakcji i uniknąć bałaganu na serwerach lokalnych.
procesy WYJĄTKÓW
organizacja może mieć pewne wyjątki od standardowych procedur przechowywania, niszczenia lub archiwizacji danych. Ważne jest, aby wyjaśnić te wyjątki w Polityce przechowywania danych, aby upewnić się, że nie ma nieporozumień lub nieporozumień.
właściwe odpowiedzi na wnioski o wykrycie, prawo lub audyt
jeśli kiedykolwiek wystąpi żądanie odkrycia, prawa lub audytu, organizacja powinna uzyskać ustandaryzowaną odpowiedź. W tej sekcji należy określić proces udzielania odpowiedzi, kto jest odpowiedzialny za udzielenie odpowiedzi i w jaki sposób zostanie ona udokumentowana.
oprócz powyższych sekcji, kompleksowa polityka przechowywania powinna obejmować następujące elementy:
- Nazwa firmy i dane kontaktowe
- Kontrola wersji
- cel polityki
- zainteresowane podmioty
- kluczowe użyte terminy
- role i obowiązki zaangażowanych pracowników
najlepsze praktyki tworzenia kopii zapasowych danych
przestrzeń dyskowa może być droga, a każda część danych nie musi być archiwizowana. Jeśli chodzi o przechowywanie danych i tworzenie kopii zapasowych, potrzeby każdej organizacji są inne. Nie ma ustalonych reguł dotyczących strategii tworzenia kopii zapasowych, częstotliwości ani okresów przechowywania. Organizacja musi holistycznie ocenić swoje wymagania podczas opracowywania polityki przechowywania danych.
istnieje jednak kilka najlepszych praktyk, które organizacje mogą rozważyć, aby rozpocząć:
Identyfikuj i Klasyfikuj typy danych
klasyfikowanie danych może pomóc w określeniu, które dane muszą zostać zarchiwizowane lub zarchiwizowane oraz na jak długo. Te pytania mogą pomóc w określeniu, czy dany typ danych wymaga utworzenia kopii zapasowej:
- czy dane są teraz krytyczne?
- czy w przyszłości może pozostać krytyczna?
- czy jest to własność intelektualna?
- czy to są poufne tajemnice handlowe?
- czy to dokument stały?
Określ wymagania prawne
tutaj najważniejsze pytanie brzmi: czy dane są niezbędne do zgodności lub audytów?
organizacje muszą określić, czy istnieją wymogi prawne lub regulacyjne dotyczące tworzenia kopii zapasowych danych przez określony czas i odpowiednio zarządzać swoimi zasadami tworzenia kopii zapasowych.
Zidentyfikuj wymagania biznesowe
zasady tworzenia kopii zapasowych muszą uwzględniać wymagania biznesowe organizacji w odniesieniu do każdego typu danych i sposobu ich tworzenia kopii zapasowych. Może to zależeć od prawdopodobieństwa utraty danych, względnego znaczenia danych i częstotliwości odświeżania danych.
określ odpowiednie szczegóły
polityka musi zawierać takie szczegóły, jak:
- częstotliwość tworzenia kopii zapasowych
- okres przechowywania
- wymagania dotyczące szyfrowania
- metody dostępu
- pracownicy upoważnieni do dostępu do danych kopii zapasowych
sprawiają, że ZenGRC jest częścią Twojego Planu Ochrony Danych
ponieważ organizacje generują i zużywają-coraz większa ilość danych, często mają problemy z ich odpowiednim wykorzystaniem, przechowywaniem, archiwizowaniem i niszczeniem. Ręczne zarządzanie cyklem życia danych nie jest możliwe, ponieważ jest nieefektywne, wymagające dużych zasobów i może powodować poważne zagrożenia bezpieczeństwa i zgodności.
aby sprostać tym wyzwaniom, konieczne jest zautomatyzowane rozwiązanie do zarządzania zapisami przechowywania danych i tworzenia kopii zapasowych. Oto, gdzie kompleksowa platforma, taka jak ZenGRC, zapewnia udogodnienia i funkcje, których potrzebujesz. ZenGRC można łatwo włączyć do strategii przechowywania danych firmy, aby bez wysiłku spełnić wymagania prawne i regulacyjne.
ZenGRC umożliwia organizacjom automatyzację cyklu życia danych, zapewnia uzasadnione możliwości audytu, wymusza ustrukturyzowane zasady przechowywania i utrzymuje możliwą do śledzenia odpowiedzialność. Pobierz demo i dowiedz się więcej o przepływach pracy automatyzacji, integracjach i konfiguracjach ZenGRC.
Leave a Reply