Skip to main content

5.33 Ochrona zapisów

Zapis to:

Dowolny zestaw informacji (np. dokumenty, transakcje, dane operacyjne) tworzony, przechowywany i zarządzany przez organizację w ramach jej działalności. Może mieć formę elektroniczną lub fizyczną i podlega ochronie przed utratą, zniszczeniem, nieautoryzowanym dostępem oraz manipulacją.

Cel

Zapewnienie ochrony zapisów organizacji przed utratą, zniszczeniem, fałszowaniem, nieautoryzowanym dostępem i ujawnieniem, zgodnie z wymaganiami prawnymi, regulacyjnymi oraz kontraktowymi.

Wymagania

Organizacja powinna:

  • Opracować i wdrożyć politykę ochrony zapisów, obejmującą zasady przechowywania, łańcuch opieki nad zapisami, usuwanie oraz ochronę przed manipulacją.
  • Określić harmonogram przechowywania zapisów, uwzględniając wymogi prawne, operacyjne i społeczne dotyczące retencji danych.
  • Klasyfikować zapisy na podstawie poziomu ryzyka oraz ich rodzaju, w tym:
    • zapisy księgowe,
    • transakcje biznesowe,
    • dokumentację kadrową,
    • dokumentację prawną.
  • Zapewnić, że zapisy są autentyczne, wiarygodne, integralne i użyteczne przez cały okres ich przechowywania.

Wdrożenie

  • Organizacja powinna wdrożyć system zarządzania zapisami obejmujący:
    • mechanizmy kontroli dostępu i audytu,
    • szyfrowanie i cyfrowe podpisy dla zapewnienia integralności i autentyczności zapisów,
    • systemy zarządzania wersjami oraz metadanymi zapisów.
  • Procedury przechowywania i obsługi zapisów powinny uwzględniać:
    • zgodność z przepisami dotyczącymi przechowywania dokumentacji,
    • wymagania dotyczące trwałości i czytelności nośników elektronicznych,
    • stosowanie wytycznych producentów nośników danych w celu minimalizacji ryzyka degradacji zapisów.
  • Zapisy powinny być przechowywane w sposób umożliwiający ich szybkie odzyskanie na potrzeby audytów lub innych wymagań prawnych.
  • Wdrożyć procedury bezpiecznego usuwania zapisów po upływie okresu przechowywania, zapewniając zgodność z polityką retencji.

Przegląd i aktualizacja

  • Regularnie przeglądać polityki zarządzania zapisami i dostosowywać je do zmian regulacyjnych, technologicznych i organizacyjnych.
  • Weryfikować skuteczność środków ochrony poprzez audyty i testy zgodności.
  • Zapewnić, że odpowiednie osoby posiadają kompetencje do zarządzania zapisami, a ich szkolenie odbywa się regularnie.
  • W przypadku zapisów elektronicznych należy zapewnić ich dostępność mimo zmian technologicznych, w tym zachowanie kluczy kryptograficznych do odszyfrowania archiwizowanych danych.

Efektywna ochrona zapisów minimalizuje ryzyko nieautoryzowanego dostępu, zapewnia ich integralność oraz wspiera zgodność z wymaganiami regulacyjnymi i kontraktowymi.