سياسة الاحتفاظ بالبيانات والتخلص منها

Control 3

الإجراءات الوقائية المعنية: 3.1 3.4 3.5

1. الغرض

تحديد متطلبات الاحتفاظ بأصول بيانات [ORGANIZATION] والتخلص منها بشكل آمن وفقاً للمتطلبات القانونية والتنظيمية والتجارية.

2. النطاق

تنطبق هذه السياسة على جميع البيانات بأي تنسيق مملوكة أو مُدارة من قبل [ORGANIZATION]، بما في ذلك البيانات الإلكترونية والسجلات المادية والنسخ الاحتياطية والبيانات المحتفظ بها من قبل أطراف ثالثة نيابة عن [ORGANIZATION].

3. السياسة

3.1 جدول الاحتفاظ

3.1.1

يجب على [ORGANIZATION] الحفاظ على جدول للاحتفاظ بالبيانات يحدد فترات الاحتفاظ الدنيا والقصوى لكل فئة بيانات، ويتم مراجعته وتحديثه سنوياً على الأقل.

3.1.2

يجب أن تستند فترات الاحتفاظ إلى المتطلبات القانونية والتنظيمية والتعاقدية والتجارية.

3.1.3

تنطبق فترات الاحتفاظ الدنيا التالية ما لم تحل محلها متطلبات تنظيمية محددة:

فئة البيانات	الحد الأدنى للاحتفاظ	الحد الأقصى للاحتفاظ	الأساس التنظيمي
السجلات المالية	[CUSTOMIZE: 7 years]	[CUSTOMIZE: 10 years]	SOX، اللوائح الضريبية
سجلات الموظفين	[CUSTOMIZE: 7 years after separation]	[CUSTOMIZE: 10 years]	EEOC، قوانين العمل
المعلومات الشخصية للعملاء	[CUSTOMIZE: Duration of relationship + 3 years]	[CUSTOMIZE: Duration + 5 years]	GDPR، CCPA، قوانين الخصوصية المحلية
المعلومات الصحية	[CUSTOMIZE: 6 years]	[CUSTOMIZE: 10 years]	HIPAA
سجلات التدقيق	[CUSTOMIZE: 1 year]	[CUSTOMIZE: 3 years]	المعايير الصناعية، الامتثال
اتصالات البريد الإلكتروني	[CUSTOMIZE: 3 years]	[CUSTOMIZE: 7 years]	الاكتشاف الإلكتروني، سجلات الأعمال
العقود والاتفاقيات	[CUSTOMIZE: Duration + 6 years]	[CUSTOMIZE: Duration + 10 years]	قانون التقادم
سجلات الحوادث الأمنية	[CUSTOMIZE: 3 years]	[CUSTOMIZE: 7 years]	الامتثال، التحفظ القانوني

3.2 متطلبات التخلص من البيانات

3.2.1

يجب التخلص الآمن من البيانات التي تجاوزت فترة الاحتفاظ القصوى وغير الخاضعة لتحفظ قانوني خلال [CUSTOMIZE: 30/60/90] يوماً.

3.2.2

يجب أن يستخدم التخلص من البيانات الإلكترونية أساليب تجعل البيانات غير قابلة للاسترداد: المسح التشفيري أو الكتابة الفوقية الآمنة (3 مرات كحد أدنى للوسائط المغناطيسية) أو التدمير المادي.

3.2.3

يجب تقطيع السجلات المادية تقطيعاً متقاطعاً أو تدميرها مهنياً من قبل مورّد معتمد.

3.2.4

يجب توثيق التخلص من البيانات السرية والمقيدة مع: وصف البيانات وطريقة التخلص وتاريخ التخلص والشخص الذي قام بالتخلص أو تحقق منه.

3.2.5

يجب أن يُطلب من الأطراف الثالثة التي تحتفظ ببيانات [ORGANIZATION] تقديم شهادة بالتخلص من البيانات وفقاً لهذه السياسة عند إنهاء العقد.

3.3 التحفظ القانوني

3.3.1

عند إصدار تحفظ قانوني، يجب الحفاظ على جميع البيانات ذات الصلة المحتملة بالمسألة القانونية بغض النظر عن جدول الاحتفاظ.

3.3.2

يجب أن يتم إبلاغ التحفظات القانونية من قبل [CUSTOMIZE: Legal Department/General Counsel] إلى جميع أمناء البيانات المعنيين.

3.3.3

لا يجوز تدمير أو تعديل أو الكتابة فوق البيانات الخاضعة لتحفظ قانوني حتى يتم رفع التحفظ رسمياً.

4. الامتثال

4.1

الامتثال لهذه السياسة إلزامي لجميع الموظفين ضمن نطاقها. سيتم مراقبة الامتثال من خلال عمليات التدقيق الدورية والضوابط الآلية ومراجعة الإدارة.

4.2

يجب توثيق الاستثناءات من هذه السياسة مع مبرر عمل، والحصول على موافقة [CUSTOMIZE: CISO/فريق الأمن]، ومراجعتها سنوياً على الأقل.

5. الإنفاذ

5.1

قد تؤدي مخالفات هذه السياسة إلى إجراء تأديبي يصل إلى إنهاء التوظيف أو العقد، وقد تؤدي إلى عقوبات مدنية أو جنائية في حال مخالفة القانون المعمول به.

5.2

تحتفظ [ORGANIZATION] بالحق في تدقيق الامتثال لهذه السياسة في أي وقت، بإشعار أو بدونه.

6. المراجعة والتنقيح

6.1

تُراجع هذه السياسة سنوياً على الأقل من قبل [CUSTOMIZE: CISO/مالك السياسة] وتُحدث حسب الحاجة لتعكس التغييرات في مشهد التهديدات أو المتطلبات التنظيمية أو الهيكل التنظيمي.

6.2

يجب توثيق جميع المراجعات برقم الإصدار والتاريخ والمؤلف ووصف التغييرات.

اعتماد السياسة

اعتمد من قبل

[CUSTOMIZE]

المسمى الوظيفي

[CUSTOMIZE]

التاريخ

[CUSTOMIZE]

التحكم في المستند

الإصدار: [CUSTOMIZE: 1.0]

تاريخ السريان: [CUSTOMIZE]

آخر مراجعة: [CUSTOMIZE]

المراجعة القادمة: [CUSTOMIZE]

التصنيف: داخلي

السياسة السابقة السياسة التالية