ce este o politică de păstrare a datelor?
o politică de păstrare a datelor este un protocol stabilit de companie pentru păstrarea înregistrărilor pentru o perioadă de timp stabilită. De asemenea, poate fi numită politică de păstrare a înregistrărilor sau politică de păstrare a copiilor de rezervă. Scopul este de a vă asigura datele și de a asigura conformitatea cu anumite nevoi de afaceri, orientări din industrie sau cerințe legale.
o politică cuprinzătoare de păstrare a datelor și un plan de gestionare a înregistrărilor detaliază motivele pentru care o companie dorește să păstreze anumite înregistrări și unde va stoca sau arhiva aceste date. Politica ar trebui să includă, de asemenea, informații despre cine este responsabil pentru fiecare tip de date și modul în care acestea vor fi șterse (sau șterse) la sfârșitul perioadei de păstrare.
o politică de păstrare a datelor ar trebui să specifice, de asemenea, proceduri de stocare de rezervă pentru a ajuta o companie să se recupereze dacă suferă pierderi de date.
de ce este importantă o politică de păstrare a datelor?
backup-uri regulate și arhivare
backup-uri de date adecvate sunt esențiale pentru planul de continuitate de afaceri atunci când se confruntă cu Dezastre neașteptate. Să presupunem că o organizație nu are măsuri complete de backup a datelor. În acest caz, recuperarea în caz de dezastru va fi incompletă și va afecta continuitatea activității din cauza lipsei accesului la datele și înregistrările necesare pentru a funcționa corect.
pe de altă parte, copierea de rezervă a prea multor date poate provoca confuzie în timpul procesului de recuperare. Mai mult, reținerea inutilă și copiile de rezervă complete pot consuma spațiu de stocare scump și pot reduce viteza de acces la rețea.
astfel, o politică de păstrare a datelor vă ajută să vă asigurați că compania păstrează sau face copii de rezervă ale datelor corespunzătoare pentru o perioadă adecvată de timp.
gestionarea simplificată a datelor
o politică de păstrare face parte din strategia generală de gestionare a datelor a unei întreprinderi. Organizația trebuie să contureze toate tipurile diferite de date și înregistrări pe care le păstrează și cât timp trebuie stocat și salvat fiecare tip. Politica ajută la asigurarea faptului că datele învechite sau duplicate sunt eliminate în mod corespunzător, facilitând găsirea datelor care sunt încă relevante și utile.
conformitatea legală și de reglementare
gestionarea eficientă a datelor și gestionarea înregistrărilor pot sprijini funcțiile de bază ale afacerii și pot ajuta organizația să își îndeplinească obligațiile legale, statutare și de reglementare. În ultimii ani, accentul pe confidențialitatea datelor a crescut, ceea ce a dus la legi și reglementări mai complexe la nivel mondial.
de exemplu, companiile cotate la bursă din Statele Unite trebuie să stabilească o politică de păstrare pentru a îndeplini cerințele de păstrare a datelor prezentate în Legea Sarbanes-Oxley (SOX). În mod similar, organizațiile de asistență medicală sunt supuse cerințelor de păstrare a datelor din Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA).
în plus, companiile care procesează plățile clienților (de exemplu, prin carduri de credit) trebuie să respecte cerințele de păstrare și eliminare a datelor specificate în standardul de securitate a datelor din industria cardurilor de plată (PCI DSS).
orice companie la nivel global care colectează și prelucrează datele cu caracter personal ale cetățenilor UE trebuie să respecte cerințele de păstrare a datelor din Regulamentul General al Uniunii Europene privind protecția datelor (GDPR). Pentru a respecta Legea GDPR privind protecția datelor, politicile de păstrare a datelor trebuie să explice ce sunt colectate, de ce sunt colectate, unde sunt păstrate și perioada de păstrare.
pe lângă respectarea acestor legi, o politică de păstrare a datelor poate ajuta o organizație să se asigure că confidențialitatea și confidențialitatea datelor sale sunt menținute. De asemenea, poate proteja firma de amenzi de neconformitate sau alte acțiuni punitive și obligații legale viitoare.
satisfacerea nevoilor de afaceri
organizațiile pot avea, de asemenea, nevoi contractuale și de afaceri specifice care necesită o politică de păstrare a datelor. Ca atare, Politica ar trebui să specifice cât timp compania va păstra anumite seturi de date și cum intenționează să facă excepții în caz de procese sau alte întreruperi.
cum se determină păstrarea adecvată a datelor
pentru a implementa o politică eficientă de păstrare a datelor, compania trebuie să identifice mai întâi tipurile de date pe care le stochează. Apoi, trebuie să clasifice aceste date. Acești pași sunt cruciali, deoarece păstrarea” adecvată ” a datelor depinde adesea de tipul de date care trebuie păstrate.
ciclul de viață al datelor sau perioada de păstrare contează, de asemenea. Unele date pot fi clasificate cu o perioadă scurtă de stocare înainte de ștergerea automată, cum ar fi e-mailurile independente. În timp ce alte înregistrări, cum ar fi contractele de vânzare și detaliile asociate, trebuie păstrate timp de mai mulți ani.
de exemplu, organizațiile de asistență medicală stochează informații de identificare personală (PII), cum ar fi numele pacientului, data nașterii, numărul de securitate socială și datele medicale. Companiile de servicii financiare stochează scorurile de credit ale clienților, istoricul plăților și informațiile despre împrumut. Politica de păstrare ar trebui să ia în considerare fiecare dintre aceste tipuri de date și să atribuie cicluri de viață adecvate în consecință.
componente cheie ale unei politici de păstrare a datelor de succes
o politică de păstrare a datelor ar trebui să acopere modul în care organizația va face backup, arhiva și șterge atât înregistrările pe suport de hârtie, cât și cele digitale. Documentul final ar trebui să fie holistic și coerent cu intrări din mai multe grupuri și să se aplice în întreaga întreprindere. Politica poate fi actualizată sau revizuită, iar o înregistrare a acestor revizuiri ar trebui menținută în cadrul documentului.
o politică de păstrare a datelor sau de backup a datelor poate include unele sau toate secțiunile următoare:
cerințe legale și de afaceri aplicabile
această secțiune ar trebui să detalieze necesitatea juridică și comercială de păstrare a datelor și de backup. Ar trebui actualizat pe măsură ce cerințele și reglementările se schimbă.
proceduri de păstrare a datelor
fiecare înregistrare și tip de date vor avea perioade și procese de păstrare diferite. Luați în considerare unde vor fi păstrate datele, cum vor fi salvate și pentru cât timp. Specificați rolul sau echipa care deține fiecare tip de date și este responsabilă pentru gestionarea acestuia. De asemenea, este important să menționăm ce tipuri de înregistrări nu trebuie păstrate și pot fi șterse imediat.
proceduri de distrugere a datelor
este esențial să evidențiați modul în care înregistrările vor fi șterse atunci când timpul de păstrare a expirat. Specificați procesul de distrugere a documentelor pe hârtie. Detaliați ce documente electronice trebuie șterse manual față de cele care sunt purjate automat de sistem.
proceduri de arhivare a datelor
este posibil ca unele date să nu fie necesare pentru utilizarea de zi cu zi, dar trebuie totuși arhivate din motive legale sau de reglementare. Procedurile de arhivare specifică tipurile de documente, locațiile de stocare și procesele de recuperare.
poate că unele documente pe hârtie sunt stocate în afara amplasamentului pentru recuperare numai dacă este necesar. Anumite documente electronice pot fi stocate pe servere diferite pentru a asigura un timp de răspuns rapid și pentru a evita aglomerația pe serverele locale.
procese de excepție
organizația poate avea unele excepții de la procedurile standard de păstrare, distrugere sau arhivare a datelor. Este important să clarificați aceste excepții în Politica de păstrare a datelor pentru a vă asigura că nu există confuzie sau comunicare greșită.
răspunsuri adecvate la solicitări de descoperire, legale sau de Audit
dacă există vreodată o solicitare de descoperire, legală sau de audit, organizația ar trebui să aibă un răspuns standardizat. Această secțiune ar trebui să specifice procesul de răspuns, Cine este responsabil pentru efectuarea răspunsului și modul în care acesta va fi documentat.
în plus față de secțiunile de mai sus, o politică cuprinzătoare de păstrare ar trebui să includă următoarele:
- numele companiei și datele de contact
- controlul versiunilor
- scopul politicii
- părțile interesate afectate
- termeni cheie Utilizați
- rolurile și responsabilitățile personalului implicat
cele mai bune practici pentru copierea de rezervă a datelor
spațiu de stocare poate fi scump, și fiecare bucată de date nu trebuie să fie susținute. Când vine vorba de păstrarea datelor și de backup-uri, nevoile fiecărei organizații sunt diferite. Nu există reguli stabilite despre strategia de backup, frecvența sau perioadele de păstrare. O organizație trebuie să își evalueze cerințele în mod holistic atunci când își dezvoltă politica de păstrare a datelor.
cu toate acestea, există mai multe bune practici pe care organizațiile le pot lua în considerare pentru a începe:
identificarea și clasificarea tipurilor de date
Clasificarea datelor poate ajuta la identificarea datelor care trebuie salvate sau arhivate și pentru cât timp. Aceste întrebări pot ajuta la determinarea dacă un anumit tip de date trebuie să fie susținute:
- datele sunt critice acum?
- este probabil să rămână critică în viitor?
- este proprietate intelectuală?
- constituie secrete de afaceri confidențiale?
- este un document permanent?
identificați cerințele legale
aici, cea mai importantă întrebare este: sunt datele necesare pentru conformitate sau audituri?
organizațiile trebuie să stabilească dacă există cerințe legale sau de reglementare pentru a face backup pentru date pentru o anumită perioadă de timp și să își gestioneze politica de backup în consecință.
identificați cerințele de afaceri
Politica de backup trebuie să ia în considerare cerințele de afaceri ale organizației în raport cu fiecare tip de date și modul în care sunt salvate. Acest lucru poate depinde de probabilitatea pierderii datelor, de importanța relativă a datelor și de cât de des sunt actualizate datele.
specificați detalii relevante
Politica trebuie să includă detalii precum:
- frecvență de rezervă
- perioada de păstrare
- cerințe de criptare
- metode de acces
- personal autorizat să acceseze datele de rezervă
Faceți ZenGRC parte din planul dvs. de protecție a datelor
pe măsură ce organizațiile generează și consumă-creșterea cantităților de date, adesea se luptă să le folosească, să le stocheze, să le arhiveze și să le distrugă în mod corespunzător. Gestionarea manuală a ciclului de viață al datelor nu este fezabilă, deoarece este ineficientă, consumă resurse și poate crea riscuri grave de securitate și conformitate.
este necesară o soluție automată de gestionare și backup a înregistrărilor de păstrare a datelor pentru a răspunde acestor provocări. Iată unde o platformă cuprinzătoare precum ZenGRC oferă facilitățile și caracteristicile de care aveți nevoie. ZenGRC poate fi ușor încorporat în strategia de păstrare a datelor unei companii pentru a îndeplini fără efort cerințele legale și de reglementare.
ZenGRC permite organizațiilor să-și automatizeze ciclul de viață al datelor, oferă capacități de audit apărabile, impune politici de păstrare structurate și menține responsabilitatea urmărită. Obțineți un demo și aflați mai multe despre fluxurile de lucru, integrările și configurațiile ZenGRC de automatizare.
Leave a Reply