Vad är en Datalagringspolicy?
en datalagringspolicy är ett företags etablerade protokoll för att hålla register under en viss tidsperiod. Det kan också kallas en policy för lagring av poster eller Policy för lagring av säkerhetskopior. Målet är att säkra dina data och säkerställa efterlevnad av särskilda affärsbehov, branschriktlinjer eller lagkrav.
en omfattande datalagringspolicy och registerhanteringsplan beskriver orsakerna till att ett företag vill behålla specifika poster och var det kommer att lagra eller arkivera dessa data. Policyn bör också innehålla information om vem som är ansvarig för varje typ av data och hur den kommer att raderas (eller rensas) i slutet av lagringsperioden.
en datalagringspolicy bör också ange procedurer för säkerhetskopiering för att hjälpa ett företag att återställa om de upplever dataförlust.
Varför är en Datalagringspolicy viktig?
regelbundna säkerhetskopior och arkivering
korrekt säkerhetskopiering av data är avgörande för din kontinuitetsplan när du möter oväntade katastrofer. Antag att en organisation inte har omfattande åtgärder för säkerhetskopiering av data på plats. I så fall kommer katastrofåterställning att vara ofullständig och påverka kontinuiteten i verksamheten på grund av bristande tillgång till de data och register som krävs för att fungera korrekt.
å andra sidan kan säkerhetskopiering av för mycket data orsaka förvirring under återställningsprocessen. Dessutom kan onödig lagring och fullständiga säkerhetskopior förbruka dyrt lagringsutrymme och minska nätverksåtkomsthastigheten.
en datalagringspolicy hjälper således till att säkerställa att företaget behåller eller säkerhetskopierar lämpliga datastycken under en lämplig tid.
strömlinjeformad datahantering
en lagringspolicy är en del av ett företags övergripande datahanteringsstrategi. Organisationen måste beskriva alla olika typer av data och poster som den behåller och hur länge varje typ ska lagras och säkerhetskopieras. Policyn hjälper till att se till att föråldrade eller duplicerade data bortskaffas på lämpligt sätt, vilket gör det lättare att hitta data som fortfarande är relevanta och användbara.
juridisk och regelefterlevnad
effektiv datahantering och registerhantering kan stödja kärnverksamhetsfunktioner och hjälpa organisationen att uppfylla sina juridiska, lagstadgade och lagstadgade skyldigheter. Under de senaste åren har fokus på datasekretess ökat, vilket har resulterat i mer komplexa lagar och förordningar över hela världen.
som ett exempel måste börsnoterade företag i USA upprätta en lagringspolicy för att uppfylla kraven på datalagring som beskrivs i Sarbanes-Oxley Act (SOX). På samma sätt är hälsovårdsorganisationer föremål för datalagringskraven i Health Insurance Portability and Accountability Act (HIPAA).
dessutom måste företag som behandlar kundbetalningar (t.ex. via kreditkort) följa de krav på lagring och bortskaffande av data som anges i Payment Card Industry Data Security Standard (PCI DSS).
alla företag globalt som samlar in och behandlar personuppgifter om EU-medborgare måste följa datalagringskraven i Europeiska unionens allmänna dataskyddsförordning (GDPR). För att följa GDPR: s dataskyddslagstiftning måste datalagringspolicyer förklara vad som samlas in, varför det samlas in, var det hålls och lagringsperioden.
förutom att uppnå överensstämmelse med dessa lagar kan en datalagringspolicy hjälpa en organisation att säkerställa att integriteten och konfidentialiteten för dess data upprätthålls. Det kan också skydda företaget från böter eller andra straffåtgärder och framtida juridiska skulder.
Möt affärsbehov
organisationer kan också ha specifika avtals-och affärsbehov som kräver en datalagringspolicy. Som sådan bör policyn ange hur länge företaget kommer att behålla särskilda datamängder och hur det planerar att göra undantag i händelse av rättegångar eller andra störningar.
hur man bestämmer lämplig datalagring
för att genomföra en effektiv datalagringspolicy måste företaget först identifiera vilka typer av data Det lagrar. Då måste den klassificera dessa data. Dessa steg är avgörande eftersom” lämplig ” datalagring ofta beror på vilken typ av data som ska behållas.
datalivscykeln eller lagringsperioden är också viktig. Vissa data kan klassificeras med en kort lagringsperiod före automatisk radering, som fristående e-postmeddelanden. Medan andra poster, som försäljningskontrakt och tillhörande detaljer, måste lagras i många år.
hälsovårdsorganisationer lagrar till exempel personligt identifierbar information (PII), såsom patientens namn, födelsedatum, personnummer och medicinska data. Finansiella tjänster företag lagrar kundernas kreditpoäng, betalningshistorik och låneinformation. Lagringspolicyn bör beakta var och en av dessa datatyper och tilldela lämpliga livscykler i enlighet därmed.
viktiga komponenter i en framgångsrik Datalagringspolicy
en datalagringspolicy bör omfatta hur organisationen säkerhetskopierar, arkiverar och tar bort både pappersbaserade och digitala poster. Slutdokumentet ska vara holistiskt och sammanhållet med insatser från flera grupper och gäller över hela företaget. Policyn kan uppdateras eller revideras, och ett register över dessa ändringar bör upprätthållas i dokumentet.
en policy för lagring eller säkerhetskopiering av data kan innehålla några eller alla av följande avsnitt:
tillämpliga juridiska och affärsmässiga krav
det här avsnittet ska beskriva det affärs-och juridiska behovet av lagring och säkerhetskopiering av data. Det bör uppdateras när krav och regler ändras.
Datalagringsförfaranden
varje post och datatyp har olika lagringsperioder och processer. Tänk på var data kommer att behållas, hur det kommer att säkerhetskopieras och hur länge. Ange vilken roll eller grupp som äger varje datatyp och ansvarar för att hantera den. Det är också viktigt att nämna vilka typer av poster som inte behöver behållas och kan raderas omedelbart.
Data Destruction Procedures
det är viktigt att markera hur poster kommer att raderas när lagringstiden är upp. Ange processen för att förstöra pappersdokument. Specificera vilka elektroniska dokument som måste raderas manuellt jämfört med vilka som automatiskt rensas av systemet.
Dataarkiveringsförfaranden
vissa data kan inte krävas för daglig användning men måste fortfarande arkiveras av juridiska eller regulatoriska skäl. Arkiveringsprocedurer anger dokumenttyper, lagringsplatser och hämtningsprocesser.
kanske vissa pappersdokument lagras off-site för hämtning endast om det behövs. Vissa elektroniska dokument kan lagras på olika servrar för att säkerställa snabb svarstid och undvika röran på lokala servrar.
Undantagsprocesser
organisationen kan ha vissa undantag från sina standardprocedurer för lagring, förstörelse eller arkivering av data. Det är viktigt att klargöra dessa undantag i datalagringspolicyn för att säkerställa att det inte finns någon förvirring eller felkommunikation.
korrekta svar på förfrågningar om upptäckt, juridisk eller revision
om det någonsin finns en begäran om upptäckt, juridisk eller revision, bör organisationen ha ett standardiserat svar. Det här avsnittet ska ange processen för att svara, vem som är ansvarig för att göra svaret och hur det ska dokumenteras.
förutom ovanstående avsnitt bör en omfattande lagringspolicy innehålla följande:
- företagsnamn och kontaktuppgifter
- versionskontroll
- Policyändamål
- berörda intressenter
- nyckeltermer som används
- roller och ansvar för personal som är involverad
bästa praxis för säkerhetskopiering av Data
lagringsutrymme kan vara dyrt, och varje Data behöver inte säkerhetskopieras. När det gäller datalagring och säkerhetskopiering är varje organisations behov olika. Det finns inga fastställda regler om backup strategi, frekvens, eller lagringsperioder. En organisation måste bedöma sina krav holistiskt när man utvecklar sin datalagringspolicy.
det finns dock flera bästa metoder som organisationer kan överväga för att komma igång:
identifiera och klassificera datatyper
att klassificera data kan hjälpa till att identifiera vilka data som behöver säkerhetskopieras eller arkiveras och hur länge. Dessa frågor kan hjälpa till att avgöra om en viss typ av data behöver säkerhetskopieras:
- är uppgifterna kritiska nu?
- är det troligt att det förblir kritiskt i framtiden?
- är det proprietär immateriell egendom?
- utgör det konfidentiella affärshemligheter?
- är det ett permanent dokument?
identifiera lagkrav
här är den viktigaste frågan: är uppgifterna nödvändiga för efterlevnad eller revisioner?
organisationer måste avgöra om det finns lagliga eller lagstadgade krav för att säkerhetskopiera data under en viss tid och hantera sin säkerhetskopieringspolicy i enlighet därmed.
identifiera affärskrav
säkerhetskopieringspolicyn måste ta hänsyn till organisationens affärskrav i förhållande till varje datatyp och hur de säkerhetskopieras. Detta kan bero på sannolikheten för dataförlust, den relativa betydelsen av data och hur ofta data uppdateras.
ange relevanta detaljer
policyn måste innehålla detaljer som:
- Säkerhetskopieringsfrekvens
- lagringsperiod
- Krypteringskrav
- åtkomstmetoder
- personal som är behörig att komma åt säkerhetskopieringsdata
gör ZenGRC till en del av din dataskyddsplan
när organisationer genererar och konsumerar ständigt ökande mängder data kämpar de ofta för att använda, lagra, arkivera och förstöra det på lämpligt sätt. Manuell hantering av datalivscykeln är inte möjlig eftersom den är ineffektiv, resurskrävande och kan skapa allvarliga säkerhets-och efterlevnadsrisker.
en automatiserad datalagring registerhantering och backup lösning krävs för att ta itu med dessa utmaningar. Här är en omfattande plattform som ZenGRC ger de bekvämligheter och funktioner du behöver. ZenGRC kan enkelt integreras i ett företags datalagringsstrategi för att enkelt uppfylla juridiska och lagstadgade krav.
ZenGRC gör det möjligt för organisationer att automatisera sin datalivscykel, tillhandahåller försvarbara granskningsfunktioner, upprätthåller strukturerade lagringspolicyer och upprätthåller spårbar ansvarsskyldighet. Få en demo och lär dig mer om Zengrcs automatiseringsarbetsflöden, integrationer och konfigurationer.
Leave a Reply