1. Tujuan
Mendefinisikan persyaratan untuk menyimpan dan membuang aset data [ORGANIZATION] secara aman sesuai dengan persyaratan hukum, regulasi, dan bisnis.
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh data dalam format apa pun yang dimiliki atau dikelola oleh [ORGANIZATION], termasuk data elektronik, catatan fisik, cadangan, dan data yang dipegang oleh pihak ketiga atas nama [ORGANIZATION].
3. Kebijakan
3.1 Jadwal Retensi
[ORGANIZATION] harus memelihara jadwal retensi data yang mendefinisikan periode retensi minimum dan maksimum untuk setiap kategori data, ditinjau dan diperbarui setidaknya setiap tahun.
Periode retensi harus didasarkan pada persyaratan hukum, regulasi, kontrak, dan bisnis.
Periode retensi minimum berikut berlaku kecuali digantikan oleh persyaratan regulasi khusus:
| Kategori Data | Retensi Minimum | Retensi Maksimum | Dasar Regulasi |
|---|---|---|---|
| Catatan Keuangan | [CUSTOMIZE: 7 tahun] | [CUSTOMIZE: 10 tahun] | SOX, Regulasi perpajakan |
| Catatan Karyawan | [CUSTOMIZE: 7 tahun setelah pemisahan] | [CUSTOMIZE: 10 tahun] | EEOC, Hukum ketenagakerjaan |
| PII Pelanggan | [CUSTOMIZE: Durasi hubungan + 3 tahun] | [CUSTOMIZE: Durasi + 5 tahun] | GDPR, CCPA, Undang-undang privasi negara bagian |
| Informasi Kesehatan | [CUSTOMIZE: 6 tahun] | [CUSTOMIZE: 10 tahun] | HIPAA |
| Log Audit | [CUSTOMIZE: 1 tahun] | [CUSTOMIZE: 3 tahun] | Standar industri, Kepatuhan |
| Komunikasi Email | [CUSTOMIZE: 3 tahun] | [CUSTOMIZE: 7 tahun] | eDiscovery, Catatan bisnis |
| Kontrak dan Perjanjian | [CUSTOMIZE: Durasi + 6 tahun] | [CUSTOMIZE: Durasi + 10 tahun] | Batas waktu kadaluarsa |
| Catatan Insiden Keamanan | [CUSTOMIZE: 3 tahun] | [CUSTOMIZE: 7 tahun] | Kepatuhan, Penahanan hukum |
3.2 Persyaratan Pembuangan Data
Data yang telah melampaui periode retensi maksimum dan tidak tunduk pada penahanan hukum harus dibuang secara aman dalam waktu [CUSTOMIZE: 30/60/90] hari.
Pembuangan data elektronik harus menggunakan metode yang membuat data tidak dapat dipulihkan: penghapusan kriptografi, penimpaan aman (minimum 3 kali untuk media magnetik), atau penghancuran fisik.
Catatan fisik harus dihancurkan dengan penghancur potong silang atau dihancurkan secara profesional oleh vendor yang disetujui.
Pembuangan data Rahasia dan Terbatas harus didokumentasikan dengan: deskripsi data, metode pembuangan, tanggal pembuangan, dan individu yang melakukan atau memverifikasi pembuangan.
Pihak ketiga yang menyimpan data [ORGANIZATION] harus diwajibkan untuk menyertifikasi pembuangan data sesuai dengan kebijakan ini saat pemutusan kontrak.
3.3 Penahanan Hukum
Ketika penahanan hukum dikeluarkan, seluruh data yang berpotensi relevan dengan masalah hukum harus dipertahankan terlepas dari jadwal retensi.
Penahanan hukum harus dikomunikasikan oleh [CUSTOMIZE: Departemen Hukum/Penasihat Umum] kepada seluruh penjaga data yang relevan.
Data yang tunduk pada penahanan hukum tidak boleh dihancurkan, dimodifikasi, atau ditimpa sampai penahanan secara resmi dicabut.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen