Hyppää sisältöön
ISMS.online

A.8.10 Tietojen poistaminen – Asiakkaan turvallinen offboarding MSPS:lle

Useimmat MSP:t kohtaavat piileviä riskejä, kun asiakastiedot jäävät säilymään järjestelmässä uudelleenkäytön jälkeen – ne jättävät jälkiä varmuuskopioihin, järjestelmiin ja muistiinpanoihin. ISO 27001 A.8.10 -standardi vaatii tarkoituksellista ja auditoitavaa tietojen poistamista sen todistamiseksi, ettei arkaluonteisia tietoja enää säilytetä. Läpinäkyvät elinkaaren lopun tietojenkäsittelykäytännöt eivät ainoastaan ​​estä yllätyksiä vaatimustenmukaisuudesta, vaan myös rakentavat luottamusta ja tekevät palvelustasi erottuvan yksityisyyttä tiedostaville ostajille.

kirjailija
Mark Sharron
Päivitetty joulukuu 1, 2025
4/5 tähteä

Usein unohdetut MSP-asiakkaiden myynnin riskit

Asiakastietojen siirtäminen pois palvelimelta on riskialtista MSP-palveluntarjoajille, koska asiakastiedot pysyvät usein hajallaan työkaluissa, varmuuskopioissa ja alustoilla kauan sopimusten päättymisen jälkeen. Vaikka peruuttaisit käyttöoikeuden ja sulkisit viimeiset tukipyynnöt, tunnisteet ja sisältö voivat silti olla paikoissa, joita kukaan ei aktiivisesti hallinnoi. Jos tiedot myöhemmin paljastuvat tai kyseenalaistetaan, niiden olemassaolon perusteleminen tilintarkastajalle, sääntelyviranomaiselle tai entiselle asiakkaalle on vaikeuksia. Asiakastietojen siirtäminen pois palvelimelta voi tuntua päättyneeltä, kun viimeinen tukipyyntö sulkeutuu, mutta monille MSP-palveluntarjoajille jäännösriski kasvaa juuri silloin. Vanhoihin järjestelmiin, varmuuskopioihin tai muistiinpanovarastoihin jääneet tiedot ovat edelleen hallinnassasi, vaikka sinulla ei enää ole oikeutettua syytä säilyttää niitä, ja ISO 27001 A.8.10 edellyttää, että hallitset tätä elinkaaren loppuvaihetta tarkoituksella sen sijaan, että jättäisit sen tavan tai muistin varaan. ISO 27001 -standardin itsenäiset yhteenvedot, kuten tämä 27001-kontrollijoukon yleiskatsaus, korostavat, että tiedot, joita ei enää tarvita, tulisi poistaa tai tehdä käyttökelvottomiksi suunnitellusti, käytäntöihin perustuvalla tavalla eikä sattuman varaan.

Tämä artikkeli tarjoaa yleisiä ohjeita MSP:ille turvalliseen tietojen poistamiseen ja offboarding-palveluun. Se ei ole oikeudellista neuvontaa; sinun tulee varmistaa erityiset velvoitteet omilta laki-, tietosuoja- ja sääntelyneuvojiltasi.

Riski ei katoa sopimuksen päättyessä; se vain muuttaa muotoaan, jos dataa jää jäljelle.

Miksi "offboarded" harvoin tarkoittaa "datan poissaoloa"

”Offboarded” tarkoittaa harvoin ”kaikkien tietojen poissaoloa”, koska tyypillinen MSP-työkalupakki jättää jälkiä asiakkaasta moniin eri järjestelmiin. Etävalvonta- ja -hallintapalvelut, tukipyynnöt, keskustelujen transkriptiot, dokumentaatiowikit, lokiarkistot, pilvivedokset ja varmuuskopiot säilyttävät usein tunnisteita, kokoonpanoja ja joskus kokonaisia ​​datajoukkoja pitkään sopimuksen päättymisen jälkeen. Jos poistat käytöstä vain reaaliaikaiset palvelut, sinulla voi silti olla huomattava määrä tietoja, jotka olisi pitänyt siirtää suunniteltuun poisto- tai anonymisointipolkuun.

Säännellyille asiakkaille jäännösdatasta voi tulla ongelma monella tapaa. Myöhempi tapaus voi paljastaa poistettavia tietoja, due diligence -tarkastus voi paljastaa "zombie"-käyttöpolkuja tai auditointi voi pyytää todisteita siitä, että siirrettyjen asiakkaiden tiedot on poistettu säilytyssääntöjen mukaisesti. Ilman jäsenneltyä kuvaa siitä, missä tiedot sijaitsevat ja miten ne siivotaan, olet riippuvainen yksittäisten insinöörien muistista ja hyvistä aikomuksista.

Vuoden 2025 kyselyssä vain noin joka viides organisaatio sanoi välttyneensä tietojen menetykseltä kokonaan edellisenä vuonna.

Kuinka keskeneräisestä offboardingista tulee todellinen tietoturva- ja vaatimustenmukaisuusongelma

Epätäydellinen offboarding-prosessi muuttuu vakavaksi tietoturva- ja vaatimustenmukaisuusongelmaksi, kun käyttöoikeuksia, datakopioita ja epävirallisia kiertoteitä on edelleen olemassa suhteen päättymisen jälkeen. Vanhat palvelutilit, automaatioavaimet tai hallitsemattomat muistiinpanot voivat luoda hyökkäyspolkuja, joita kukaan ei enää omista. ISO 27001 A.8.10 -standardin näkökulmasta tämä tarkoittaa, että tiedot ovat edelleen hallinnassasi, vaikka niiden säilyttämiselle ei enää ole oikeutettua syytä.

Suurin osa vuoden 2025 ISMS.online-kyselyyn osallistuneista organisaatioista kertoi, että niihin oli vaikuttanut ainakin yksi kolmannen osapuolen tai toimittajan tietoturvahäiriö viimeisen vuoden aikana.

Tiedostojen siirtämisen riski ei koske pelkästään jäljelle jääneitä tiedostoja. Käyttöpolut voivat säilyä hienovaraisesti, esimerkiksi:

  • jaetut järjestelmänvalvojan tunnistetiedot, jotka pysyvät voimassa aiemmin hallinnoiduissa järjestelmissä
  • Automaatiota varten tarkoitetut API-avaimet ja palvelutilit, joita ei koskaan peruuteta
  • kolmannen osapuolen SaaS-portaalit, jotka jatkavat datan replikointia pääpalvelun pysähtymisen jälkeen

Vanhan suhteen varjot voivat elää edelleen tavoilla, joita yksikään tiimin jäsen ei täysin ymmärrä.

Varjo-IT vahvistaa tätä. Teknikot luovat joskus ad-hoc-tiedostojen jakoja, henkilökohtaisia ​​muistiinpanovarastoja tai sivukanavien varmuuskopioita saadakseen työt tehtyä nopeasti. Jos nämä sijainnit puuttuvat resurssi- ja tietovarastoistasi, ne eivät näy missään offboarding-tarkistuslistoissa. Jos näissä paikoissa olevat tiedot paljastuvat myöhemmin, asiakas ja sääntelyviranomainen näkevät ne silti sinun vastuullasi.

Jotta voit hallita tätä riskiä ISO 27001 A.8.10 -standardin mukaisesti, sinun on käsiteltävä asiakkaan myynnin poistamista korkean riskin elinkaaritapahtumana. Tämä tarkoittaa todellisen datapintasi ymmärtämistä, myynnin poistamisskenaarioiden lisäämistä riskirekisteriisi ja sellaisten kontrollien suunnittelua, jotka toimivat koko työkalupakkissasi, ei vain ydininfrastruktuurissasi. Nämä riskit eivät ole pelkästään teknisiä, vaan ne myös muokkaavat sitä, miten potentiaaliset ja entiset asiakkaat arvioivat ammattitaitoasi kysyessään, mitä heidän tiedoilleen todella tapahtuu asiakassuhteen lopussa.

Varaa demo


Miksi tiedon poistaminen on nyt strateginen erottautumistekijä

Tietojen poistaminen on nyt strateginen erottautumistekijä MSP:ille, koska se vaikuttaa siihen, kuka valitsee sinut, miltä auditoinnit tuntuvat ja kuinka sujuvasti suhteet päättyvät. Ostajat kysyvät yhä useammin, mitä heidän tiedoilleen tapahtuu poistumishetkellä, ei vain reaaliaikaisen palvelun aikana, ja turvallisuus- ja yksityisyyskyselylomakkeet sisältävät yhä useammin nimenomaisia ​​kysymyksiä säilytyksestä, poistamisesta ja sopimuksen päättymisen käsittelystä, kuten jaetun arvioinnin tyylisissä tiedon säilyttämistä koskevissa ohjeissa ja GDPR:n mukaisissa kyselylomakkeissa, kuten tässä keskustelussa turvallisuuskyselyistä ja tiedon säilyttämisestä. Jos pystyt selittämään ja todistamaan poiston selkeästi, viestit kypsyydestä, vähennät kitkaa ja vältät riitoja sopimusten päättyessä sen sijaan, että poistoa pidettäisiin hiljaisena putkityönä, joka on piilotettu näkyvämpien palvelumittareiden taakse. Nykyään se vaikuttaa yhä enemmän siihen, kuka valitsee sinut, miten tietoturvatarkastus etenee ja kuinka kalliiksi riidat tulevat, joten kasvuun keskittyvälle MSP:lle kyky selittää ja todistaa poiston onnistuminen voi olla yhtä tärkeää kuin saatavuuden ja käyttöajan osoittaminen, erityisesti silloin, kun asiakkaat käsittelevät arkaluonteisia tai säänneltyjä tietoja.

Vuoden 2025 ISMS.online-kyselyssä kerättiin vastauksia noin 3 001 tietoturva-ammattilaiselta Isosta-Britanniasta ja Yhdysvalloista.

Miten poistaminen ja offboarding vaikuttavat myyntiin ja uusimisiin

Poisto ja offboarding vaikuttavat myyntiin ja uusimisiin, koska tietoturvakyselyt, tarjouspyynnöt ja sidosryhmähaastattelut tutkivat yhä useammin palvelun lopetuskäytäntöjäsi yksityiskohtaisesti. Riski-, yksityisyys- ja lakiasiaintiimit haluavat kuulla selkeän kuvan tietojen palauttamisesta, säilyttämisestä ja tuhoamisesta tuotantojärjestelmissä, varmuuskopioissa ja kolmansien osapuolten palveluissa. Yritysten ja julkisen sektorin ostajat kysyvät nyt rutiininomaisesti yksityiskohtaisia ​​kysymyksiä siitä, mitä heidän tiedoilleen tapahtuu varmuuskopioissa, lokeissa ja kolmansien osapuolten alustoilla, ei vain tuotannossa. Jaetut arviointikehykset ja kyselylomakemallit tutkivat yleisesti, miten käsittelet pitkäaikaista tallennusta, varmuuskopioiden säilytystä ja kolmansien osapuolten tietovirtoja sopimuksen päättyessä ja sen jälkeen, mikä vahvistaa tätä odotusta ja vaikeuttaa heikkojen käytäntöjen piilottamista epämääräisten vastausten taakse.

Selkeät poistokäytännöt tukevat myös yksityisyyden suojaa ja tietosuojaa koskevia odotuksia. Periaatteet, kuten tietojen minimointi ja säilytyksen rajoittaminen, edellyttävät, että säilytät henkilötietoja vain niin kauan kuin on tarpeen sovittujen tarkoitusten vuoksi. Nämä periaatteet näkyvät nimenomaisesti GDPR:ssä sekä sääntelyviranomaisten ja tietosuoja-asiantuntijoiden säilytys- ja poistovelvoitteita koskevissa kommenteissa, joissa korostetaan, että organisaatioiden ei tulisi säilyttää henkilötietoja pidempään kuin on tarpeen ilmoitettujen tarkoitusten vuoksi, kuten esimerkiksi tässä GDPR:n tietojen säilytys- ja poistovelvoitteita koskevassa katsauksessa on käsitelty. Kun pystyt selittämään, että asiakastiedot joko palautetaan, anonymisoidaan tai poistetaan turvallisesti oikeaan aikaan, annat asiakkaiden tietosuojavastaaville, lakimiehille ja tietoturvajohtajille vahvan perusteen sille, että palvelusi ei aiheuta heille pitkäaikaista altistumista.

Asiakassuhteen näkökulmasta yksinkertainen ja rehellinen selitys siitä, mitä poistat, mitä säilytät ja kuinka kauan, vähentää väärinkäsityksiä poistumisvaiheessa. Kiistat siitä, "kuka säilyttää mitäkin", ovat usein merkki siitä, että odotukset eivät koskaan olleetkaan yhteneväisiä. Poiston käsitteleminen osana arvolupausta antaa asiakkuuspäälliköille ja virtuaalisille tietohallintojohtajille mahdollisuuden asettaa offboarding-prosessin asiakkaan elinkaaren strukturoituna ja ennustettavana vaiheena sen sijaan, että se olisi sotkuinen ja ristiriitainen loppuratkaisu.

Miksi dokumentoitu poistokerros rakentaa luottamusta

Dokumentoitu poistokerros rakentaa luottamusta, koska se osoittaa kurinalaisuutta, läpinäkyvyyttä ja kunnioitusta asiakkaan tietoja kohtaan. Hyvin jäsennelty offboarding-kerros tekee enemmän kuin vain täyttää vaatimustenmukaisuusvaatimukset; se osoittaa, että sinulla on kurinalainen ja kunnioittava lähestymistapa muiden ihmisten tietoihin. Kun voit osoittaa, että:

  • ymmärtää, missä asiakastietoja säilytetään
  • ovat sopineet kirjallisista säilytys- ja poistosäännöistä
  • noudata toistettavissa olevaa offboarding playbookia
  • pystyy esittämään tiiviin todistepaketin, jos sitä pyydetään

Vähennät potentiaalisten asiakkaiden riski- ja hankintatiimien kognitiivista kuormitusta. He käyttävät vähemmän aikaa selvennysten perässä juoksemiseen, ja sinä käytät vähemmän aikaa räätälöityjen vastausten uudelleenkirjoittamiseen. Ajan myötä tämä lyhentää tietoturvatarkastussyklejä ja asettaa hallinnoidun palveluntarjoajasi turvallisemmaksi pitkäaikaiseksi kumppaniksi.

Tässäkin ISMS.onlinen kaltainen alusta voi auttaa. Keskittämällä käytännöt, prosessit ja poisto- ja offboarding-tiedot voit tukea kaupallisia tiimejä johdonmukaisella, ennalta hyväksytyllä kielellä ja artefakteilla sen sijaan, että keksiisit selityksiä uudelleen jokaiselle tilaisuudelle. Tämä yhdenmukaisuus reaaliaikaisen hallintajärjestelmän kanssa viestii myös tilintarkastajille, että poistotietokanta on osa jatkuvaa hallintoa, ei vain myyntikertomus.



ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

81 %:n etumatka ensimmäisestä päivästä lähtien

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita


A.8.10 'Tiedon poisto' dekoodattu MSP:ille

ISO 27001:2022 -standardin liite A.8.10 edellyttää, että tiedot poistetaan tai anonymisoidaan, kun niitä ei enää tarvita, käyttäen turvallisia ja suunniteltuja menetelmiä. Se näyttää paperilla lyhyeltä, mutta usean käyttäjän työkaluja, varmuuskopioita ja pilvipalveluita käyttävälle hallinnoidulle palveluntarjoajalle sillä on laajoja seurauksia, koska järjestelmissä, laitteissa ja tallennusvälineissä olevat tiedot on poistettava, kun niitä ei enää tarvita, käyttäen menetelmiä, jotka sopivat kuhunkin ympäristöön työkalurikkaassa, usean käyttäjän ympäristössä, jossa tiedot kulkevat monien käsien ja alustojen kautta. Ohjausteksti ja yleiset toteutushuomautukset tekevät selväksi, että tiedot, joita ei enää tarvita liiketoimintaan, lakiin tai sääntelyyn liittyvistä syistä, on poistettava tai anonymisoitava turvallisesti dokumentoitujen menettelyjen mukaisesti. Tämä näkökohta toistetaan myös riippumattomissa ISO 27001 -yhteenvedoissa, kuten tässä kontrolli kontrollilta -yleiskatsauksessa.

Mitä A.8.10 todella odottaa sinulta

A.8.10 edellyttää, että hallitset koko tiedon elinkaarta: keräät, käytät, tallennat, varmuuskopioit, arkistoit ja lopulta poistat tai anonymisoit tiedot, kun niitä ei enää tarvita. "Ei enää tarvita" tulisi määritellä säilytyskäytännössäsi sekä tiukempien lakisääteisten, sopimus- tai sääntelyvelvoitteiden mukaisesti. Tämän jälkeen tarvitset käytännön menetelmiä ja näyttöä siitä, että näin todella tapahtuu.

Käytännössä ohjaus odottaa sinun määrittelevän:

  • mitä tietoja sinulla on ja missä
  • kun kutakin luokkaa ei enää tarvita
  • miten se poistetaan tai anonymisoidaan
  • miten aiot osoittaa, että näin todella tapahtuu

MSP:n osalta laajuus kattaa asiakkaaseen liittyvät tiedot isännöimissäsi tuotanto-ympäristöissä, määritystietovarastoissa, tietoturvatyökaluissa, valvonta-alustoilla, lokeissa ja varmuuskopioissa sekä palvelun toimittamiseen käytetyissä yhteistyötyökaluissa. Se ulottuu myös asiaankuuluviin kolmannen osapuolen palveluihin, joissa hallitset suhdetta tai konfiguraatiota.

A.8.10 ei edellytä jokaisen kopion täydellistämistä tai välitöntä poistamista sopimuksen päättyessä. Se edellyttää, että olet miettinyt läpi, miten kutakin tietotyyppiä käsitellään, että käytät asianmukaisia ​​menetelmiä ja että päätöksesi voidaan jäljittää käytäntöihin, säilytyssääntöihin ja riskinarviointeihin.

Miten A.8.10 kytkeytyy muihin tietoturvanhallintajärjestelmän osiin

A.8.10 liittyy läheisesti muihin ISO 27001 -standardin mukaisiin kontrolleihin, kuten omaisuudenhallintaan, käyttöoikeuksien rajoittamiseen ja varmuuskopiointiin. Poistoa ei voida hallita hyvin, jos ei tiedetä, mitkä järjestelmät sisältävät asiakastietoja, kuka voi käyttää niitä ja kuinka kauan varmuuskopioita säilytetään. Poisto on myös vuorovaikutuksessa toimittajien kontrollien kanssa, koska pilvi- ja SaaS-palveluntarjoajilla on usein rooli siinä, miten tiedot käytännössä poistetaan.

Tietojen poistaminen ei ole erillinen toiminto. Se on tiiviisti yhteydessä varmuuskopiointiin (kuten A.8.13), lokinkirjaukseen ja valvontaan, käyttöoikeuksien hallintaan (kuten A.8.3), omaisuudenhallintaan ja toimittajasopimuksiin liittyviin valvontatoimiin. Varmuuskopiointistrategiasi määrittää esimerkiksi, kuinka kauan tiedot säilyvät ja miten puhdistus tapahtuu tallennusvälineen elinkaaren lopussa. Lokikäytännöt vaikuttavat siihen, mitä henkilötietoja ja asiakastunnisteita näkyvät pitkäaikaisarkistoissa. Toimittajien valvontatoimet sanelevat, miten pilvipalveluntarjoajat ja SaaS-toimittajat käsittelevät tietojen poistamisen puolestasi. ISO 27001 -standardin käyttöönotto-oppaat, kuten tämä BSI:n käyttöönoton yleiskatsaus, korostavat, että poistosäännöt tulisi suunnitella varmuuskopioinnin, lokinkirjauksen, käyttöoikeuksien ja toimittajien valvonnan rinnalla, koska jokainen taso vaikuttaa siihen, kuinka kauan tiedot todella säilyvät.

Hallitun suunnittelun yhteydessä elinkaaren laukaisevat tekijät ovat erityisen tärkeitä. Yleisiä laukaisevia tekijöitä ovat:

  • pääpalvelusopimuksen päättyminen
  • tietyn palvelun, kuten hallitun varmuuskopioinnin, loppu
  • lakisääteisen tai sopimukseen perustuvan säilytysvelvollisuuden päättyminen
  • turvallisuuspoikkeaman tai -tutkinnan päättäminen

Jokaisen käynnistystekijän tulisi näkyä säilytysaikataulussasi ja offboarding playbookissasi, jotta tiimit tietävät, milloin siirtyä säilytyksestä poistamiseen tai anonymisointiin.

Noin 41 % organisaatioista nimesi vuoden 2025 ISMS.online-kyselyssä kolmansien osapuolten riskien hallinnan ja toimittajien vaatimustenmukaisuuden seurannan suurimpana haasteena.

Se auttaa myös selventämään eroa poistamisen, anonymisoinnin ja pseudonymisoinnin välillä:

  • poisto: poistaa tiedot niin, ettei niitä voida enää palauttaa, esimerkiksi pyyhkimällä levyn turvallisesti.
  • Anonymisointi: poistaa tunnisteet, jotta tietoja ei voida enää yhdistää henkilöön tai asiakkaaseen, kuten lokitietojen kokoaminen mittareiksi ilman IP-osoitteita.
  • Pseudonymisointi: korvaa tunnisteet, mutta sallii silti uudelleentunnistamisen lisätiedoilla, esimerkiksi vaihtamalla käyttäjätunnuksia palautuviin tokeneihin.

A.8.10 kohdan mukaisesti anonymisointi voi usein täyttää vaatimuksen, jossa haluat säilyttää trendidataa ilman tunnistettavien tietojen säilyttämistä. Anonymisointia ja datan arvoa koskevissa ohjeissa todetaan, että asianmukaisesti anonymisoituja datajoukkoja voidaan usein säilyttää analytiikkaa varten rikkomatta tallennusrajoituksia, edellyttäen, että yksilöt eivät ole enää tunnistettavissa, kuten on korostettu keskusteluissa, kuten tässä artikkelissa anonymisoinnin tärkeydestä datalähtöisille yrityksille.



Mitä sopimuksen päättyessä tulee poistaa, säilyttää tai anonymisoida

Sopimuksen päättyessä tarvitset selkeän ja perusteltavissa olevan käytännön siitä, mitkä tiedot poistetaan, mitkä säilytetään ja mitkä anonymisoidaan, koska vaikeimmat kysymykset ovat harvoin teknisiä: ne keskittyvät siihen, mitä poistat, mitä säilytät ja miten perustelet nämä päätökset, jos niitä myöhemmin haastetaan. Jos pystyt selittämään ja dokumentoimaan nämä valinnat yksinkertaisesti, palveluntarjoajan siirtämisestä tulee ennustettava prosessi jännittyneen neuvottelun sijaan, ja tämä selkeys auttaa myös yhdenmukaistamaan A.8.10-kohdan yksityisyyden ja sopimusvelvoitteiden kanssa.

Selkeän rajan vetäminen asiakastietojen ja MSP-tietueiden välille

Puhdas offboarding alkaa erottamalla asiakkaan omistamat tiedot operatiivisista tiedoista, joita MSP:si oikeutetusti tarvitsee. Asiakastiedot tulisi yleensä palauttaa tai viedä ja sitten poistaa järjestelmistäsi sovittujen säilytysaikojen umpeuduttua. MSP-tietueita voidaan säilyttää määriteltyihin liiketoiminnallisiin tai oikeudellisiin syihin, mutta vain vähimmäismuodossa ja selkeiden suojaus- ja poistosääntöjen mukaisesti.

Käytännöllinen tapa aloittaa on erottaa toisistaan:

  • tiedot, jotka asiakas selvästi omistaa ja hallitsee
  • operatiiviset tiedot, jotka MSP:si tarvitsee laillisesti säilyttää

Asiakkaan omistamiin tietoihin kuuluvat yleensä tuotantodatajoukot, käyttäjätiedostot, postilaatikot, sovellussisältö ja asiakaskohtaiset varmuuskopiot, joita ylläpidät heidän puolestaan. Nämä tulisi yleensä palauttaa tai viedä sopimuksessa sovitussa muodossa ja poistaa järjestelmistäsi säilytysajan päätyttyä.

MSP:n omistamat operatiiviset tiedot sisältävät usein laskutustietoja, konfigurointimuistiinpanoja, korkean tason tietoturvatapahtumia, muutostietueita ja vähimmäislokeja, joita tarvitaan osoittamaan, miten palvelut toimitettiin. Saatat tarvita näitä tietoja talousraportointiin, palvelun laadun analysointiin, myöhempään riita-asiakirjanpitoon tai tietoturvatutkimuksiin. Niiden säilyttäminen voi olla tarkoituksenmukaista, mutta vain jos:

  • kategoriat on selkeästi määritelty tietovarastossasi
  • säilytysaika on perusteltu lakisääteisten tai liiketoiminnallisten tarpeiden vuoksi
  • soveltamisala on rajattu siihen, mikä on todella välttämätöntä
  • tiedot suojataan ja poistetaan määritellyn ajanjakson päättyessä

Tämä erottelu auttaa sinua perustelemaan, mikä jää, mikä menee ja miksi. Jokaisen luokan käsitteleminen "säilytettävänä varmuuden vuoksi" heikentää sekä A.8.10:n että tietosuojaperiaatteiden mukaista toimintaa.

Alla olevassa taulukossa on yhteenveto tyypillisistä tuloksista yleisimpien tietoluokkien osalta sopimuksen päättyessä.

Luokka Tyypillisiä esimerkkejä Oletustulos
Asiakkaan tuotantotiedot Käyttäjätiedostot, postilaatikot, sovellussisältö, asiakasohjelmien varmuuskopiot Palauta tai vie ja poista sitten määräajan jälkeen
Konfigurointi ja valvonta RMM-konfiguraatiot, laiteluettelot, hälytyssäännöt Säilytä minimaalinen näkymä ja poista/anonymisoi sitten
Käyttöhuoltotiedot Liput, muutostiedot, korkean tason turvallisuustapahtumat Säilytä määritetyn ajan ja poista sitten
Yhdistetty trenditieto Anonymisoidut mittarit, tapahtumatilastot Anonymisoi ja säilytä analytiikkaa varten

Poikkeukset, asiakkaiden mieltymykset ja todistevaatimukset tarkoittavat, että vakiomuotoiset poistoaikataulusi eivät voi olla täysin jäykkiä. Oikeudelliset pidätysmääräykset, tutkimukset tai toimialasäännöt saattavat edellyttää joidenkin tietueiden poiston keskeyttämistä. Asiakkaat saattavat haluta oletusarvoista voimakkaampaa tai heikompaa poistoa. Kaikki nämä on käsiteltävä jäsenneltyjen vaihtoehtojen, dokumentoitujen hyväksyntöjen ja selkeiden tarkistuspisteiden avulla.

Monimutkaisuus lisääntyy, kun sovelletaan oikeudellisia säilytysvaatimuksia, viranomaistutkimuksia tai toimialakohtaisia ​​sääntöjä. Näissä tapauksissa normaalit poistoaikataulut on keskeytettävä kyseisten tietojen osalta ja ne on dokumentoitava huolellisesti ja aikasidottava. Sinun tulee kirjata säilytyksen syy, kuka sen valtuutti, mitä tietoja säilytysvaatimus koskee ja milloin se tarkistetaan. Kun säilytysvaatimus päättyy, poiston tai anonymisoinnin tulisi jatkua käytäntöjesi mukaisesti.

Asiakkailla voi myös olla erilaisia ​​mieltymyksiä. Jotkut haluavat kaiken materiaalin tehokkaan poistamisen lähdettyään; toiset odottavat tiettyjen lokien tai tapahtumahistorioiden pidennettyä säilytystä. Sen sijaan, että joustaisit prosessiasi uudelleen jokaista asiakasta varten, voit määrittää pienen joukon vakiomuotoisia säilytysvaihtoehtoja, joilla jokaisella on selkeät toiminnalliset vaikutukset, ja antaa asiakkaiden valita näiden rajojen puitteissa käyttöönoton tai sopimusneuvottelun aikana.

Jokaisesta poistamista tai säilyttämistä koskevasta päätöksestä on viisasta tallentaa todisteita. Päätöslokit, hyväksynnät, viittaukset asiaankuuluviin käytäntöihin tai sopimuslausekkeisiin ja linkit tukeviin riskinarviointeihin voivat kaikki olla tiketti- tai tietoturvanhallintajärjestelmässäsi. Kun kysymys herää kuukausia tai vuosia myöhemmin, voit osoittaa, että tulos perustui jäsenneltyyn, käytäntöjen mukaiseen prosessiin eikä henkilökohtaisiin mieltymyksiin.

Tämän logiikan upottaminen säilytysaikatauluun ja asiakastietokarttoihin tarkoittaa, että offboarding-tiimien ei enää tarvitse keksiä sääntöjä hetkessä. He yksinkertaisesti soveltavat dokumentoitua mallia, jonka laki-, tietosuoja- ja tietoturva-alan sidosryhmät ovat jo tarkistaneet.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Toistettavan ja turvallisen offboarding-strategian rakentaminen

Toistettavissa oleva offboarding-käsikirja muuttaa turvallisen poiston stressaavasta kertaluonteisesta projektista palvelusi elinkaaren vakio-osaksi. Kun tiedät, mitä eri tietoluokille pitäisi tapahtua, seuraava vaihe on koota se käsikirjaksi, jota tiimit voivat noudattaa paineen alla, jotta heillä on selkeä polku sopimusilmoituksesta vahvistettuun poistoon, vaikka suhteet olisivat jännittyneitä tai järjestelmät monimutkaisia. Kun käsikirjaa on helppo seurata, turvallisesta offboarding-työstä tulee ennustettavaa ja auditoitavaa sankarillisuuden sijaan. Sama käsikirja tarjoaa myös materiaalia, jota voidaan hyödyntää suoraan sisäisessä tarkastuksessa ja johdon tarkasteluissa tietoturvanhallintajärjestelmässäsi.

Tehokas offboarding-työnkulku heijastaa MSP:iden todellista toimintaa, kuten tikettejä, jonoja, luovutuksia ja aikapaineita. Sen tulisi alkaa selkeästä laukaisimesta, edetä etsintä- ja sopimusvaiheiden läpi ja päättyä vahvistettuun poistoon. Jokaisessa vaiheessa tarvitaan selkeät omistajat ja artefaktit, jotta mikään ei ole riippuvainen pelkästään muistista.

Käytännön offboarding-työnkulku alkaa yleensä selkeällä laukaisevalla tekijällä, kuten virallisella ilmoituksella pääpalvelusopimuksen nojalla. Siitä eteenpäin voidaan määritellä vaiheet, kuten suunnittelu, sopimus, toteutus ja varmennus.

Vaihe 1 – Suunnittelu ja tiedon etsintä

Vahvista palveluiden laajuus, tunnista asiakastietoja sisältävät järjestelmät ja avaa koordinoidut tiketit kullekin työlinjalle.

Vaihe 2 – Sopikaa luovutusmuodoista ja aikatauluista

Sovi vientimuodoista, toimitustavoista ja määräajoista, jotta tekniset tiimit ja asiakas jakavat samat odotukset.

Vaihe 3 – Peruuta tai muuta käyttöoikeutta

Poista tai muuta tilejä, avaimia ja rooleja infrastruktuurissa, SaaS-alustoilla ja kolmannen osapuolen palveluissa hallitussa järjestyksessä.

Vaihe 4 – Vie tiedot ja pyydä asiakkaan vahvistus

Vie sovitut tietoaineistot, toimita ne turvallisesti ja hanki kirjallinen vahvistus siitä, että asiakas on vastaanottanut odottamansa.

Vaihe 5 – Poista tai anonymisoi jäännöstiedot

Käytä vakiopoisto- ja anonymisointimenetelmiäsi tuotannossa, lokeissa, varmuuskopioissa ja yhteistyötyökaluissa.

Vaihe 6 – Vahvista ja kirjaudu ulos

Vahvista, että poisto onnistui, sulje tiketit ja kirjaa hyväksynnät muistiin, jotta voit osoittaa tapahtuneen, jos sinua myöhemmin kyseenalaistetaan.

Tämän työnkulun esittäminen yksinkertaisena kaistakaaviona, jossa on kaistat palvelupisteelle, infrastruktuurille, tietoturvalle, asiakkuuksien hallinnalle ja lakiosastolle, auttaa kaikkia ymmärtämään, miten heidän toimintansa nivoutuvat toisiinsa. Se paljastaa myös pullonkauloja, kuten riippuvuuksia yhdestä insinööristä tai aukkoja, joissa kukaan ei ole eksplisiittisesti vastuussa poiston validoinnista.

Vastuumalli, kuten RACI, selkeyttää omistajuutta entisestään. Yksi rooli voi olla vastuussa poiston valtuuttamisesta, kun sopimusvelvoitteet ja lakisääteiset pidätysmääräykset on tarkistettu. Muut roolit vastaavat tiettyjen teknisten vaiheiden toteuttamisesta tai todisteiden varmentamisesta. Kun tämä malli on upotettu runbookeihin, uusien työntekijöiden perehdytykseen ja PSA-työnkulkujen konfigurointiin, vältät kriittisten päätösten jättämisen sille, joka sattuu noutamaan tiketin.

Työntekijöiden vaihdon johdonmukaiseksi, tehokkaaksi ja mukautuvaksi tekemiseksi

Jotta käsikirja olisi hyödyllinen, sen on tuntuttava realistiselta sitä käyttäville insinööreille ja asiakkuuspäälliköille. Sen on käsiteltävä kiusallisia tilanteita, kuten maksamattomia laskuja, konflikteja lähtevän asiakkaan kanssa tai ratkaisemattomia ongelmia, samalla varmistaen, että olennaiset tietoturvatyöt tehdään ajallaan. Tarvitset myös palautesilmukoita, jotta jokainen offboarding parantaa seuraavaa.

Työntekijöiden siirtäminen tapahtuu harvoin ihanteellisissa olosuhteissa. Saattaa olla maksamatta laskuja, jännittyneitä suhteita tai rinnakkaisia ​​​​tapahtumien tutkimuksia. Suunnittelussasi tulisi ennakoida nämä realiteetit. Voit esimerkiksi vaatia, että tietyt turvallisuustoimenpiteet, kuten käyttöoikeuksien peruuttaminen ja tietojen vienti, eivät ole riippuvaisia ​​​​kaupallisten riitojen ratkaisemisesta, mutta silti voit keskeyttää ei-välttämättömän työn, jos sopimukset sen sallivat.

Toimintasuunnitelman kokeilu ensin pienemmän riskin asiakkailla voi vähentää käyttöönoton riskejä. Voit seurata mittareita, kuten offboarding-vaiheeseen kuluvaa aikaa, seurantapyyntöjen määrää ja jäljellä olevien tilien tai jälkikäteen löydettyjen tietojen määrää. Alkuvaiheista opitut asiat voidaan hyödyntää tarkennetuissa tarkistuslistoissa, parempissa PSA-kehotteissa tai lisäkoulutusmateriaaleissa.

Koulutus ja sisäinen viestintä ovat elintärkeitä. Insinöörien ja asiakkuuspäälliköiden on nähtävä offboarding osana normaalia palvelun elinkaarta, ei epämiellyttävänä loppupelinä. Lyhyet läpikäynnit, visuaaliset oppaat ja just-in-time-kehotteet tikettien tai tietopankin artikkeleiden sisällä auttavat vahvistamaan prosessia. Ajan myötä hyvästä käsikirjasta tulee yhteinen tapa, ei dokumentti, joka ilmestyy vain auditointien aikana.

Yhdistämällä tämän käsikirjan ISMS-alustaan, kuten ISMS.onlineen, voit linkittää jokaisen vaiheen taustalla oleviin kontrolleihin, riskeihin ja näyttötietokantoihin. Tällä tavoin operatiivinen todellisuutesi ja virallinen ISO 27001 -dokumentaatiosi pysyvät synkronoituna, ja ammattilaiset voivat nähdä, miten heidän päivittäinen työnsä tukee A.8.10-vaatimustenmukaisuutta.



Tekniset ja menettelylliset tarkastukset todennettavissa olevaa poistoa varten

Tekniset ja proseduraaliset toimenpiteet tekevät tietojen poistamisesta sekä turvallista että todistettavaa kaikissa järjestelmissäsi. Tarvitset standardoituja menetelmiä kullekin tallennustyypille, selkeät säännöt siitä, kuka voi käynnistää poiston, ja tapoja osoittaa, että toimenpiteet toimivat, koska toimintasuunnitelma määrittelee vain sen, mitä pitäisi tehdä. Kontrollit varmistavat, että se todella tapahtuu eri teknologioissa, paikallisista palvelimista SaaS-alustoihin ja pitkäaikaisiin varmuuskopioihin.

Poistomenetelmien valinta ja standardointi

Poistomenetelmien valinta alkaa käyttämiesi tallennustilojen ja palveluiden ymmärtämisestä: päätepisteet, palvelimet, virtuaali-infrastruktuuri, pilvitallennus, SaaS ja varmuuskopiot. Jokainen niistä vaatii sopivan lähestymistavan kryptografisesta poistosta ja turvallisesta pyyhkimisestä elinkaarikäytäntöihin ja palveluntarjoajan hallinnoimiin poistoihin. Näiden lähestymistapojen standardointi antaa insinööreille varmuutta siitä, että he tekevät oikein paineen alla.

Erilaiset tallennustilatyypit ja palvelut vaativat erilaisia ​​poistomenetelmiä, esimerkiksi:

  • päätepisteet ja palvelimet: levyjen turvallinen pyyhkiminen tai kryptografinen poisto sekä poistaminen hallintatyökaluista
  • virtuaalinen infrastruktuuri: tilannekuvien, taltioiden ja levykuvien huolellinen käsittely, jotta purku poistaa tiedot todella
  • pilviobjektien tallennustila ja tiedostojen jakaminen: elinkaarikäytännöt, jotka vanhentavat tiedot määriteltyjen säilytysaikojen jälkeen
  • SaaS-sovellukset: hallinnolliset toiminnot käyttäjätilien, sisällön ja metatietojen tyhjentämiseen

Varmuuskopiot ovat erityisen arkaluontoisia. Et välttämättä pysty poistamaan yhden asiakkaan tietoja kirurgisesti historiallisista, usean käyttäjän varmuuskopioista. Sen sijaan voit hallita sitä lyhentämällä tiettyjen varmuuskopiointitöiden säilytysaikaa, salaamalla tallennusvälineitä asiakaskohtaisilla avaimilla ja varmistamalla, että tallennusvälineet puhdistetaan tai tuhotaan turvallisesti käyttöiän päätyttyä. Monissa ympäristöissä kryptografinen pyyhkiminen avainten tuhoamisen avulla on tunnustettu tapa tehdä vanhoista varmuuskopioista lukukelvottomia, ja se voi olla käytännöllinen vaihtoehto, kun jokaisen lohkon uudelleenkirjoittaminen tai ylikirjoittaminen ei ole mahdollista tietojen pyyhkimistä koskevien ohjeiden, kuten NIST SP 800-88:n, mukaisesti, joka sisältää kryptotyhjennyksen hyväksyttyjen pyyhkimismenetelmien joukossa.

Kaikissa tapauksissa on parempi tunnustaa tekniset rajoitukset ja hallita niitä vastuullisesti. Vältä lupaamasta täydellistä poistoa, jota et voi toteuttaa. Näiden menetelmien standardointi poistostandardissa tai teknisessä ohjeessa auttaa insinöörejä välttämään ad hoc -valintoja. Jokaiselle tietovarastotyypille voit dokumentoida ensisijaisen poistomenetelmän, varamenetelmän, jos ensisijainen poistomenetelmä ei ole mahdollinen, ja vaadittavan vahvistusvaiheen. Automaatio komentosarjojen, RMM-käytäntöjen tai orkestrointityökalujen avulla voi sitten soveltaa näitä menetelmiä johdonmukaisesti ja luoda lokeja niiden suorittamisen aikana.

Poiston todistettavissa olevat ohjausobjektit

Poisto on vakuuttava muille vain, jos pystyt osoittamaan milloin, miten ja kuka sen suoritti. Menettelylliset kontrollit, kuten muutostietueet, kaksoishyväksyntä, varmennustarkastukset ja lokikirjaus, muuttavat tekniset toimenpiteet todisteiksi. Ne myös suojaavat tiimiäsi varmistamalla, että riskialttiita poistoja ei voida tehdä hiljaa tai ilman tarkistusta.

Auditoinnin ja asiakkaan luottamuksen näkökulmasta tärkein kysymys ei ole vain "poistitko?", vaan "mistä tiedät ja miten voit osoittaa sen?". Useat proseduraaliset kontrollit auttavat tässä:

  • muuttaa tietueita tai tikettejä korkean riskin poistoille, viitaten säilytyssääntöihin ja hyväksyntöihin
  • kaksoisohjaus avainten tuhoamiseen tai tallennusvälineiden hävittämiseen, joten kukaan ei voi poistaa kriittisiä todisteita
  • poiston jälkeiset tarkistukset, joiden avulla varmistetaan, että tilit, haut tai palautukset eivät enää paljasta asiakkaan tietoja
  • lokit automatisoiduille ja manuaalisille poistotöille, jotka voidaan viedä todistusaineistopaketteihin

Myös seurannalla on merkitystä. Hälytykset epäonnistuneista poistotöistä, epätavallisista säilytysmuutoksista tai replikoinnin ja varmuuskopioinnin poikkeavuuksista tulisi reitittää asianmukaisille tiimeille, joilla on selkeät runbookit. Poistorunbookien säännöllinen testaus harjoitusten ja esimerkkipalautusten avulla varmistaa, että kontrollit toimivat edelleen teknologioiden ja kokoonpanojen kehittyessä.

Näiden elementtien yhdistäminen antaa sinulle paitsi varmuuden siitä, että tiedot poistetaan turvallisesti, myös tarvittavat ominaisuudet vakuuttaaksesi muut, sisäisistä tarkastajista vaativiin yritysasiakkaisiin.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Poiston todistaminen ja sen upottaminen tietoturvanhallintajärjestelmään ja sopimuksiin

Poiston todistaminen tarkoittaa kykyä kertoa johdonmukainen, näyttöön perustuva tarina siitä, mitä asiakastiedoille tapahtuu niiden poistuessa. Tämä edellyttää yhdenmukaisuutta kolmella tasolla: käytännöt ja standardit, prosessiartefaktit ja tapahtumakohtaiset tietueet, jotka kaikki sisältyvät tietoturvanhallintajärjestelmääsi ja heijastuvat sopimuksiisi, jotta lupauksesi vastaavat sitä, mitä pystyt johdonmukaisesti toimittamaan. Tilintarkastajat, sääntelyviranomaiset ja asiakkaat eivät koe aikomustasi; he näkevät dokumentaatiosi ja toimintasi, joten poiston muuttaminen todistettavaksi riippuu siitä, onko A.8.10 selvästi näkyvissä jokaisella näistä tasoista.

Tilintarkastajat, sääntelyviranomaiset ja asiakkaat eivät koe aikeitasi; he näkevät dokumentaatiosi ja toimintasi. Poiston muuttaminen todistettavaksi edellyttää tietoturvanhallintajärjestelmän, sopimusten ja operatiivisen näytön yhdenmukaistamista siten, että A.8.10 näkyy selvästi kaikissa.

Tarkastusvalmiin poistoaineiston rakentaminen

Auditointivalmis todistusaineisto yhdistää yleiset säännöt, prosessisuunnittelun ja offboarding-tapahtuman erityiset tiedot, jotta kun joku kysyy "näytä minulle, mitä tälle asiakkaalle tapahtui", voit hakea kaikki kolme nopeasti. Tämä vähentää tiimiesi stressiä, helpottaa A.8.10:n toiminnan osoittamista käytännössä eikä vain paperilla, ja tehokas todistusaineisto tietylle offboarding-asiakkaalle sisältää tyypillisesti kolme tasoa:

  • Käytäntö ja standardit: Tietojesi poistokäytäntö, säilytysaikataulu ja mahdolliset tekniset standardit, jotka määrittelevät menetelmät ja vastuut. Nämä osoittavat soveltamasi periaatteet.
  • Prosessiartefaktit.: Käyttöönottokäsikirjasi, RACI, mallit ja mahdolliset sisäiset ohjeet, jotka muuttavat käytännöt käytännöiksi. Nämä osoittavat suunnitellun työnkulun.
  • Tapahtumakohtaiset tietueet: Poistumistietoja koskevat tiketit tai muutostietueet, poistopäätösten hyväksynnät, järjestelmien lokit, jotka osoittavat poiston tai vanhenemisen, sekä kaikki tuhoamis- tai poistovahvistukset. Nämä osoittavat, mitä kyseisessä tapauksessa tapahtui.

Voit esimerkiksi pitää yllä muutospyyntöä, joka viittaa pääpalvelusopimukseen, osoittaa säilytysaikatauluun, sisältää kuvakaappauksia varmuuskopiointitöiden muutoksista ja lokiotteita keskeisistä järjestelmistä ja päättyy viralliseen hyväksyntään. Tämä yksi paketti helpottaa huomattavasti irtisanomisesta keskustelemista tilintarkastajan tai entisen asiakkaan kanssa kuin hajanaisten sähköpostien ja työkalujen läpikäymistä.

Kun nämä elementit linkitetään ISMS-alustan, kuten ISMS.onlinen, sisällä, voit siirtyä tyhjästä katseesta yhtenäiseen tarinaan, kun tilintarkastaja sanoo: "Näytä minulle, miten käsittelit tietojen poistamisen viimeksi irtisanotulle asiakkaalle." Sama paketti, sopivasti tiivistettynä, voi rauhoittaa entistä asiakasta, joka haluaa todisteita siitä, että olet täyttänyt sitoumuksesi.

Sopimusten, tietoturvan hallintajärjestelmän ja jatkuvan parantamisen yhdenmukaistaminen

Sopimusten yhdenmukaistaminen tietoturvanhallintajärjestelmän kanssa varmistaa, että lupaat vain sitä, mitä henkilöstösi ja työkalusi pystyvät luotettavasti toimittamaan. Tietojenkäsittelysopimusten ja pääpalvelusopimusten tulisi heijastaa poistomalliasi, mukaan lukien säilytysajat, varmuuskopiointikäytännöt ja vastuut kolmansien osapuolten järjestelmissä. Jos sopimustekstit poikkeavat operatiivisesta todellisuudesta, luot riskejä molemmille osapuolille. Tietosuojavelvoitteita koskevissa sopimusohjeissa suositellaan yleensä DPA-tekstien yhdenmukaistamista organisaatiosi todellisten käsittely- ja poistokäytäntöjen kanssa, jotta säilytystä ja poistamista koskevat sopimuslupaukset ovat realistisia ja täytäntöönpanokelpoisia, kuten esimerkiksi tässä tietosuojavelvoitteita koskevan sopimuksen yleiskatsauksen kaltaisissa kommenteissa on käsitelty.

Lausekkeiden tulisi myös olla yhdenmukaisia ​​yksityisyyden suojaa koskevien käsitteiden, kuten säilytysrajoitusten ja poistamiseen liittyvien oikeuksien, kanssa samalla tunnustaen oikeutetut säilytystarpeet ja lakisääteiset pidätysmääräykset. Jos lait tai toimialan säännöt edellyttävät poistamisen keskeyttämistä, tämän tulisi näkyä sekä käytännöissäsi että sopimuksessasi.

Noin kaksi kolmasosaa kyselyyn vastanneista organisaatioista sanoi, että sääntelymuutosten nopeus ja määrä vaikeuttavat vaatimustenmukaisuuden ylläpitämistä.

Sopimusten ja tietojenkäsittelysopimusten tulisi tukea, ei olla ristiriidassa poistomallisi kanssa, kuvaamalla:

  • Mitä erityyppisille tiedoille tapahtuu sopimuksen päättyessä
  • kuinka kauan varmuuskopioita voi olla olemassa ja millä suojauksilla
  • Mikä osapuoli on vastuussa toimista kolmannen osapuolen järjestelmissä
  • millaista vahvistusta tai raportointia asiakas voi odottaa

Nämä lausekkeet tulisi kirjoittaa yhteistyössä sekä laki- että operatiivisen osaston kanssa, jotta lupaukset vastaavat sitä, mitä toimintasuunnitelmasi ja kontrollisi todellisuudessa pystyvät tarjoamaan. Tässä auttaa yksinkertainen periaate: lupaa vain sitä, mitä voit johdonmukaisesti toteuttaa ja todistaa. Liian kunnianhimoinen tai epäselvä sanamuoto voi näyttää houkuttelevalta myyntikeskusteluissa, mutta aiheuttaa myöhemmin vakavia vaatimustenmukaisuus- ja vastuuongelmia.

Lausekkeiden tulisi myös olla yhdenmukaisia ​​yksityisyyden suojaa koskevien käsitteiden, kuten säilytysrajoitusten ja poistamiseen liittyvien oikeuksien, kanssa samalla tunnustaen oikeutetut säilytystarpeet ja lakisääteiset pidätysmääräykset. Jos lait tai toimialan säännöt edellyttävät poistamisen keskeyttämistä, tämän tulisi näkyä sekä käytännöissäsi että sopimuksessasi.

Tietoturvan hallintajärjestelmässäsi kohdan A.8.10 ei tulisi olla erillinen kohta valvontaluettelossa. Resurssirekisterien tulisi osoittaa, mitkä järjestelmät sisältävät asiakastietoja ja mitä poistomenetelmiä sovelletaan. Riskienarvioinneissa tulisi ottaa huomioon offboarding-skenaariot. Toimittajien arvioinneissa tulisi tarkistaa, miten alemman tason palveluntarjoajat tukevat poistovelvoitteitasi. Sisäisten auditointien ja johdon arviointien tulisi testata A.8.10:n toteutusta säännöllisesti, tunnistaa puutteita ja edistää korjaavia toimenpiteitä.

Käsittelemällä poistoa osana hallintajärjestelmääsi luot palautesilmukan, jossa jokainen poisto parantaa seuraavaa. Tämä puolestaan ​​vahvistaa sitoumuksiasi asiakkaille ja tilintarkastajille ja vahvistaa mainettasi tietojen vastuullisesta käsittelystä koko asiakassuhteen ajan ja sen jälkeen.



Varaa esittely ISMS.onlinesta jo tänään

ISMS.online auttaa sinua muuttamaan ISO 27001 A.8.10 -standardin epämääräisestä vaatimuksesta reaaliaikaiseksi offboarding-työnkuluksi, jossa on linkitettyjä todisteita, joita voit esitellä tilintarkastajille ja asiakkaille. Hallitsemalla käytäntöjä, käsikirjoja, tikettejä ja tietueita yhdessä paikassa voit tehdä turvallisesta poistamisesta rutiininomaisen osan palvelusi elinkaarta stressaavan kertaluonteisen projektin sijaan.

Mitä voit saavuttaa seuraavien 90 päivän aikana

Seuraavien yhdeksänkymmenen päivän aikana voit muuttaa poistamisen ja offboardingin ad hoc -tehtävästä standardoiduksi ja vastuulliseksi toimintasuunnitelmaksi. Voit vahvistaa, kuka on vastuussa kustakin vaiheesta, ja yhdenmukaistaa säilytys- ja poistosäännöt sopimuksiesi kanssa. Näiden elementtien määrittäminen ISMS.online-järjestelmässä tarkoittaa, että ne eivät ole vain hyllyllä olevia asiakirjoja, vaan aktiivisia osia päivittäisistä prosesseistasi. Tehtävät, tietueet ja tarkastelut ohjaavat yhdenmukaista toimintaa koko hallintajärjestelmässäsi.

Lyhyt työtapaaminen ISMS.online-tiimin kanssa voi auttaa sinua kartoittamaan nykyisiä offboarding-tapojasi A.8.10-standardin mukaisesti, korostamaan aitoja puutteita ja priorisoimaan muutoksia, jotka vahvistavat sekä vaatimustenmukaisuutta että kannattavuutta. Yhdessä voitte tunnistaa pienen joukon mittareita – kuten offboarding-syklin keston, jäännösasiakkuuksien löydökset ja auditointitulokset – jotka osoittavat, tuottaako uusi lähestymistapasi arvoa.

Miksi nähdä ISMS.online toiminnassa nyt

ISMS.online-alustan näkeminen käytännössä osoittaa, kuinka ISMS-alusta voi tehdä poistoista ja offboarding-prosessista ennustettavaa, todistettavaa ja helpommin hallittavaa tiimeillesi. Tarkennettu demo yhdistää tämän oppaan ideat todelliseen asiakaskuntaasi, työkaluihisi ja sopimuksiisi, jotta voit arvioida, kuinka hyvin lähestymistapa toimii juuri sinun kontekstissasi.

Tiedonpoistamisen ja asiakkaiden offboarding-prosessien vahvistaminen tänään valmistaa sinua myös tulevaisuuden puitteisiin ja odotuksiin. Säädösten, kuten verkko- ja tietoturvalakien sekä asiakasstandardien, kehittyessä jäsennelty ja näyttöön perustuva poistokyky tekee sopeutumisesta paljon helpompaa kuin alusta aloittaminen joka kerta. Jos olet valmis olemaan MSP, joka voi todistaa, että asiakastiedot todella poistuvat asiakassuhteen päättyessä, demon varaaminen ISMS.online-palvelun kautta on käytännöllinen ensimmäinen askel.

Varaa demo


Usein Kysytyt Kysymykset

Mitä ISO 27001 A.8.10 -standardin mukaan MSP:n on todistettava asiakastiedoista sopimuksen päättyessä?

ISO 27001 A.8.10 edellyttää, että todistat tiedot, joita ei enää tarvita, tunnistettu, käsitelty hallitusti ja todistettu – ei vain epävirallisesti poisteta, kun joku muistaa. Hallittujen palvelujen tarjoajalle tämä tarkoittaa, että voit näyttää, missä asiakaskohtaiset tiedot sijaitsevat, milloin kutakin luokkaa ei enää tarvita ja mitä niille tapahtui offboarding-tilanteessa ja sen jälkeen.

Mitä "ei enää tarvita" tarkoittaa MSP:n yhteydessä?

Sinun odotetaan määrittelevän "ei enää tarvita" tavalla, joka olisi järkevää sääntelyviranomaiselle, tilintarkastajalle ja lakimiehelle:

  • Otat huomioon lakisääteinen säilytys (verotus, rahoitus, työllisyys, toimialakohtaiset säännöt).
  • Olet linjassa sopimusehdot (vanhentumisajat, palvelutasosopimusriidat, takuut).
  • Sinä heijastat oikeutetut liiketoiminnan tarpeet (tietoturvalokitiedot, huoltohistoria, vakuutukset).

Näiden sääntöjen tulisi näkyä poisto-/säilytyskäytännössä ja -aikataulussa, jossa erotetaan toisistaan ​​asiakkaan sisältö ja omat operatiiviset tietueesi.

Mitä tilintarkastaja yleensä haluaa nähdä A.8.10:n osalta?

Useimmat tilintarkastajat haluavat sinun:

  • Osoita kohtaan käytäntö ja säilytysaikataulu jotka kattavat asiakassisällön ja MSP-tietueet.
  • Näytä a toistettava offboarding-työnkulku joka viittaa noihin sääntöihin.
  • Kävele a äskettäinen poistuminen ja tarjoa:
  • Kyseisille tiedoille määritellyt elinkaaren päättymistä koskevat säännöt.
  • Suunnittelemasi vaiheet (vienti, säilytys, poistaminen, anonymisointi).
  • Todisteet: tiketit, muutostietueet, lokit, vientilistat, vahvistukset.

Jos pystyt rauhallisesti osoittamaan, että ”näin päätämme, ettei tietoja enää tarvita, tämä on aina käyttämämme työnkulku ja näin teimme tälle asiakkaalle”, täytät A.8.10:n hengen paljon vakuuttavammin kuin luottamalla siihen, että ”yleensä poistamme asioita asiakkaan lähtiessä”.

Miten MSP:n tulisi päättää, mitä poistaa, säilyttää tai anonymisoida asiakassuhteen päättyessä?

Teet nämä päätökset luokittelemalla tiedot etukäteen ja soveltamalla niitä yksinkertaiset kirjoitetut säännöt jokaiselle luokalle sen sijaan, että improvisoitaisiin joka kerta sopimuksen päättyessä. Ilman näitä sääntöjä ihmiset joko hamstraavat kaiken "varmuuden vuoksi" tai poistavat liikaa ja menettävät vielä tarvitsemiaan tietoja.

Miten erotatte asiakassisällön omista operatiivisista tiedoistanne?

Käytännönläheinen jako, jonka useimmat MSP:t tunnistavat, on:

  • Asiakkaan sisältö: – tiedot, jotka asiakas omistaa tai joista hän on suoraan vastuussa:
  • Vuokralaisen tiedot, postilaatikot, tiedostovarastot ja tietokannat.
  • Virtuaalikoneet ja isännöidyt työkuormat.
  • Päätelaitteiden levykuvat ja niiden ympäristöjen varmuuskopiot.
  • Asiakaskohtainen valvonta ja telemetria.
  • MSP:n operatiiviset tiedot: – tiedot, joita tarvitset yrityksesi pyörittämiseen ja puolustamiseen:
  • Sopimukset, laskut, ajankirjaukset ja ostotilaukset.
  • Kootut lokit ja tapahtumayhteenvedot.
  • Konfiguraatiomuistiinpanot, kaaviot, runbookit ja palveluraportit.
  • Tietoturvatapahtumat ja muutoshistoriat omilla alustoillasi.

Asiakkaan sisältö on yleensä palautettu tai viety, ja säilytetään sitten palautettavissa sovitun ajan ennen poistamista. Toimintatiedot säilytetään lyhennetyssä muodossa määrättyjen ajanjaksojen ajan, jotta voit:

  • Tutustu rahoitus- ja verosääntöihin.
  • Käsittele valituksia, riitoja ja vakuutuskorvauksia.
  • Analysoi tietoturva- ja palvelutrendejä.

Tämän jaon dokumentointi tietoturvan hallintajärjestelmässä helpottaa huomattavasti asiakkaille ja tilintarkastajille selittämistä, miksi eri tietojoukot noudattavat erilaisia ​​​​elinkaaren loppupolkuja.

Milloin tiedot kannattaa poistaa suoraan vai anonymisoida ja säilyttää?

Määritä kullekin tietoluokalle neljä perusasiaa:

  • Tarkoitus: – miksi pidät sitä.
  • Säilytysaika: – kuinka kauan sitä todella tarvitset.
  • Elinikäisen poiston toimenpiteet: – poistaa, anonymisoida tai siirtää rajoitettuun arkistoon.
  • Toimipaikat: – järjestelmät, tallennustila ja kolmannet osapuolet.

Käyttää poisto kun ei ole jatkuvaa oikeudellista, sopimuksellista tai toiminnallista syytä säilyttää tietoja. nimettömyys kun haluat edelleen tietoa – esimerkiksi tikettitrendeistä tai tapausten määristä – mutta et enää tarvitse tunnistaa tiettyä entistä asiakasta tai henkilöä.

Ratkaisevaa A.8.10-standardin kannalta on, että nämä mallit ovat olemassa ennen poistumista, ne kirjataan muistiin ja niitä sovelletaan johdonmukaisesti. ISMS.online-alustan kaltainen alusta helpottaa tätä linkittämällä tietotyypit, säilytyssäännöt ja elinkaaren päättymisen toimenpiteet suoraan resursseihisi ja kontrolleihisi, jotta tiimisi tietää aina, mitä seuraavaksi tapahtuu.

Kuinka MSP voi muuttaa asiakkaan käytöstä poiston toistettavaksi prosessiksi, joka aina sisältää turvallisen poiston?

Teet offboardingista toistettavan käsittelemällä sitä vakiopalvelutyönkulku selkeällä toimintasuunnitelmalla, ei satunnaisena projektina, jota jokainen insinööri ajaa eri tavalla. Käsikirjan tulisi määritellä vaiheet, omistajat, esineet ja todisteet, jotta jokainen poistumisprosessi sisältää turvallisen poiston jo suunnitteluvaiheessa.

Mitä käytännön offboarding-käsikirja sisältää A.8.10-kohdassa?

Toimiva työnkulku useimmille MSP:ille näyttää tältä:

  • Liipaisin ja laajuuden määrittäminen:

Sopimusilmoitus tai uusimatta jättäminen luo poistotietueen PSA- tai ITSM-työkaluusi. Kirjaat sopimuksen laajuuden, tärkeät päivämäärät, asiakasyhteystiedot, sopimuksen piiriin kuuluvat järjestelmät ja mahdolliset rajoitukset (kuten oikeudelliset pidätysmääräykset, sääntelyviranomaiset tai avoimet kiistat).

  • Tietojen ja resurssien tarkastelu:

Tarkastelet asiakkaan resurssi- ja datakarttaa: vuokraajia, ympäristöjä, laitteita, varmuuskopioita, SaaS-palveluita, valvontaa ja kolmannen osapuolen palveluita. Tämä selventää, missä asiakkaan sisältö ja omat tietueesi sijaitsevat.

  • Vienti- ja säilytyssopimus:

Hyväksyt, mitä palautetaan (tiedot, dokumentaatio, tunnistetiedot), missä muodossa, kuinka kauan tiedot ovat palautettavissa ja milloin poistot tai anonymisointi aloitetaan.

  • Käyttö- ja määritysmuutokset:

Poistat tai muutat tilejä, avaimia, VPN-yhteyksiä, integraatioita ja valvontaa suunniteltu järjestys joka ei keskeytä sovittuja vientitoimia tai jätä hallitsemattomia käyttöpolkuja.

  • Poiston / anonymisoinnin suorittaminen:

Sinä sovellat säilytyssääntöjä: varmuuskopioiden poistaminen, tallennuksen elinkaarikäytännöt, vuokraajatason poistot, laitteiden pyyhkiminen ja tikettien poisto. Jokainen toiminto tallennetaan ja tarvittaessa toinen henkilö tarkistaa sen.

  • Päättäminen ja hyväksyminen:

Kirjaat tallennetut tiedot, jotka vietiin, mitä poistettiin tai anonymisoitiin ja mitä säilytettiin (perusteluineen ja säilytysaikoineen), ja tallennat sisäiset ja tarvittaessa asiakkaan kuittaukset.

Tämän dokumentointi elävänä työnkulkuna tietoturvajärjestelmässäsi pitää vaiheet näkyvissä ja auditoitavissa. ISMS.online-palvelussa voit rakentaa kyseisen käsikirjan suoraan ohjausjoukkoosi ja linkittää sen muutostietueisiin, joten A.8.10:tä tukee aina jäljitettävä prosessi eikä heimojen tietämys.

Miten varmistat, että insinöörit todella noudattavat käyttöönotto-ohjeita?

Ihmiset noudattavat prosesseja, jotka he näkevät ja jotka sopivat luonnostaan ​​heidän työkaluihinsa:

  • Upota offboarding-vaiheet ja tarkistukset PSA/ITSM-mallit vakiotehtävillä, kentillä ja tilakoodeilla.
  • luovuttaa nimetyt roolit jokaiselle vaiheelle – palvelupiste, projektit, alusta, tietoturva, talous – jotta omistajuus on selvä.
  • Keskeisten käyttöoikeuksien poisto- ja poistotehtävien pinnan suorittaminen mittaristot tai palveluarvosteluja.
  • ajaa opittujen kokemusten arvioinnit varhaisissa offset-projekteissa työnkulun hiomiseksi ennen sen soveltamista monimutkaisempiin tai säänneltympiin asiakkaisiin.

Jos hallinnoit tietoturvanhallintajärjestelmääsi ISMS.online-palvelussa, voit linkittää offboarding-työnkulun suoraan A.8.10-kohtaan, määrittää omistajat, asettaa tarkastuspäivämäärät ja kerätä todisteita. Näin käsikirjan noudattamisesta tulee "miten teemme exit-projektit täällä" eikä pelkkä vuosittainen siivoustoimenpide.

Mitkä tekniset ja prosessikohtaiset kontrollit antavat MSP:lle vakuuttavan todisteen siitä, että tiedot on todella poistettu?

Rakennat vakuuttavia todisteita yhdistämällä vankat tekniset tarkastukset kevyitä, toistettavia toimenpiteitä jotka jättävät aina jäljen. Asiakkaat ja tilintarkastajat haluavat nähdä, että tiedät mitä teit tietyn exitin kohdalla ja pystyt osoittamaan sen, etkä vain sitä, että omistat vaikuttavia tuotteita.

Mitkä tekniset kontrollit tukevat luotettavaa todistetta poistosta?

Useimmille MSP:ille seuraavat ovat sekä käytännöllisiä että vakuuttavia:

  • Tallennus- ja varmuuskopiointielinkaarikäytännöt: – tietojen ja varmuuskopioiden automaattinen vanheneminen määritettyjen ajanjaksojen jälkeen, lokien kera käytäntömuutoksista ja työtulosten tallentamisesta.
  • Kryptografinen poisto: – avainten poistaminen tai tuhoaminen, jotta salattuja tietoja ei voida enää lukea, erityisesti pilvialustoilla ja itsesalaavissa tallennustiloissa.
  • Toimittajan toimittamat puhdistustoiminnot: – käyttämällä SaaS- ja pilvipalveluiden sisäänrakennettua vuokralaisen, tilin tai työtilan poistotoimintoa manuaalisen, kohdekohtaisen poiston sijaan.
  • Hallittu laitteiden puhdistus: – keskitetysti hallittu tyhjennys, uudelleenrakennus tai turvallinen hävittäminen hallinnoimillesi kannettaville tietokoneille, palvelimille, palomuureille ja verkkolaitteille.

Hyvin konfiguroidut säätimet tuottavat raportit, lokit tai koontinäytöt – esimerkiksi suoritetut elinkaarityöt, tuhotut avaimet, poistetut vuokralaiset – jotka voit liittää offboarding-tietueeseen osana A.8.10-todisteitasi.

Mitkä prosessivaiheet tekevät todistuksesta uskottavamman?

Prosessin puolella vahvistat kerrostasi, jos:

  • Nostaa muutostietueet merkittävien poistojen tai avainten tuhoutumisen yhteydessä hyväksyntöjen, laajuuden ja riskin dokumentointi.
  • käyttää kaksoisohjaus suuria muutoksia vaativiin toimiin (kuten jaetun tallennustilan tyhjentämiseen tai pääavainten poistamiseen), jotta kukaan ei tee näitä muutoksia yksin.
  • Sisältää vahvistustarkastukset, kuten vahvistamalla, että:
  • Entinen asiakas ei enää näy varmuuskopiointityölistoissa.
  • Käytöstä poistetut tilit eivät todennu.
  • Vuokralaiset tai tilaukset ovat kadonneet hallintakonsoleista.
  • monitori poistotyöt ja hälytykset, jotta virheet tai odottamattomat säilytysmuutokset havaitaan ja korjataan nopeasti.

ISMS.online auttaa tässä antamalla sinun linkittää nämä tekniset ja prosessikontrollit suoraan A.8.10:een, tallentaa niihin liittyvät todisteet ja tarkastella niiden toimintaa sisäisissä auditoinneissa ja johdon katselmuksissa. Tämä helpottaa sen todistamista, että poistamista tehdään johdonmukaisesti, ei vain silloin, kun joku esittää vaikeita kysymyksiä.

Miten MSP:t voivat paketoida ja esittää A.8.10-todisteet niin, että auditoinnit ja asiakkaiden kysymykset on nopea käsitellä?

Helpotat auditointeja ja entisten asiakkaiden kysymyksiin vastaamista standardoimalla offboarding-todistepaketti jota käytät uudelleen jokaisella poistumiskerralla. Kun joku kysyy "Mitä teitte tiedoillamme?", haluat kerätä täydellisen paketin minuuteissa vanhojen sähköpostien ja lokien jahtaamisen sijaan.

Mitä tavallisen offboarding-todistepaketin tulisi sisältää?

Yksinkertainen kolmikerroksinen rakenne toimii hyvin:

  • Ylin kerros – säännöt ja tarkoitus:
  • Tietojen poisto-/säilytyskäytäntö, mukaan lukien miten "ei enää tarvita" määritellään.
  • Säilytysaikataulu, joka näyttää luokat, säilytysajat ja oletusarvoiset elinkaaren päättymistoimenpiteet.
  • Roolit ja vastuut poistumiseen ja poistamiseen liittyen.
  • Keskimmäinen kerros – miten se toteutetaan:
  • Liikenneneuvonnan toimintasuunnitelma ja vastuumatriisi.
  • Poistumisten aikana käytettävät vakiotarkistuslistat tai lomakkeet.
  • Sisäinen ohjeistus tietojen poistamisesta, anonymisoinnista ja poikkeusten, kuten lakisääteisten säilytysvaatimusten, käsittelystä.
  • Pohjakerros – mitä tälle asiakkaalle tapahtui:
  • PSA/ITSM-poistotietue ja siihen liittyvät muutostiketit.
  • Sovittu vientiluettelo ja asiakkaan vahvistus vastaanottamisesta ja käytettävyydestä.
  • Keskeisten järjestelmien (pilvi, varmuuskopiointi, SaaS, RMM, valvonta) lokit tai raportit, jotka osoittavat poiston, vanhenemisen tai käyttöoikeuksien poiston.
  • Kaikki antamasi tuhoamistodistukset tai kirjalliset vahvistukset.
  • Lyhyt lopetusviesti, jossa kerrotaan, mitä poistettiin, mitä säilytettiin, miksi ja kuinka kauan.

Tämän paketin linkittäminen asiakastietueeseen tietoturvajärjestelmässäsi nopeuttaa sen hakemista ja uudelleenkäyttöä. ISMS.online-palvelussa voit tallentaa nämä esineet todisteeksi A.8.10-standardia ja siihen liittyviä kontrolleja vastaan, mikä tekee sisäisistä ja ulkoisista auditoinneista paljon suoraviivaisempia.

Miten tämä lähestymistapa auttaa ISO 27001 -standardin täyttämisen lisäksi?

Standardoidut offboardboard-paketit täyttävät A.8.10:n vaatimukset enemmän kuin vain:

  • Ne vähentää kitkaa kun entiset asiakkaat pyytävät vahvistusta siitä, että heidän tietojaan ei enää ole ympäristössäsi.
  • He tukevat uusimiset ja lähetteet, koska voit osoittaa, että käsittelet poistumiset yhtä huolellisesti kuin perehdyttämisen.
  • He antavat uusille tiimin jäsenille selkeitä esimerkkejä seurattavaksi, joten kyky osoittaa hyvää siirtymistä tehtävistä ei riipu yhdestä tai kahdesta pitkäaikaisesta insinööristä.

Hyvin hoidettuna offboardingista tulee hiljainen myyntivaltti: näytät palveluntarjoajalta, joka sulkee kierteen kunnolla, ja voit todistaa sen konkreettisilla esimerkeillä turvallisuuskyselyissä, tarjouspyynnöissä ja due diligence -tarkastuksissa.

Miksi A.8.10:n hallinta ISMS-alustan, kuten ISMS.onlinen, kautta helpottaa MSP:n offboarding-prosessien toteuttamista ja testaamista?

A.8.10:n hallinta ISMS-alustan kautta yksinkertaistaa offboardingia, koska se yhdistää käytännöt, riskit, varat, työnkulut ja todisteet yhdessä paikassa sen sijaan, että ne hajaantuisivat dokumentteihin, tiketteihin ja yksittäisiin muistipaikkoihin. Sen sijaan, että luottaisit ihmisten muistavan sääntöjä ja lokeja, voit antaa järjestelmän ohjata ja tallentaa oikeat toimenpiteet.

Miten tietoturvan hallintajärjestelmä (ISMS) parantaa A.8.10:n päivittäistä hallintaa?

ISMS.online-alustan kaltaisella alustalla voit:

  • Linkki A.8.10 suoraan asiaankuuluviin resursseihin ja tietovirtoihin, joten karttasi asiakastietojen sijainnista syötetään suoraan exit-suunnitteluun.
  • Liittää säilytyssäännöt ja elinkaaren päättymiseen liittyvät toimenpiteet tiettyihin tietotyyppeihin, jotta insinöörit voivat alustan sisällä nähdä, pitäisikö kohteet poistaa, anonymisoida vai arkistoida.
  • Rakenna offboarding-työnkulku, RACI ja tarkistuslistat reaaliaikaisina tiedostoina tietoturvajärjestelmässä, omistajineen, tarkistuspäivineen ja muutoshistorioineen, ei staattisina tiedostoina jaetulla levyllä.
  • kaapata tiketit, hyväksynnät, lokit ja vahvistukset todisteena valvontaa vastaan, joten kaikki tarvittava tarkastuksia ja asiakkaan vakuuttamista varten on jo yhdessä paikassa.
  • Sisällytä A.8.10 sisäiset tarkastukset ja johdon arvioinnit, jotta voit havaita aukot – esimerkiksi järjestelmän, jossa poistoja ei vielä kirjata lokiin – ja seurata parannuksia ajan myötä.

Näin poistamisesta ja offboardingista tulee osa normaalia vaatimustenmukaisuusrytmiäsi sen sijaan, että se olisi sivuprojekti, johon palaat vasta sertifiointien uusimisen lähestyessä.

Miten tämä muuttaa tapaasi näkyä asiakkaille ja tilintarkastajille?

Kun offboarding- ja description-tehtävät tehdään näkyvästi tietoturvanhallintajärjestelmän (ISMS) ohjaamina eikä sopimuskohtaisesti improvisoituina, voit:

  • Vastaa turvallisuuskyselyihin ja tarjouspyyntöihin johdonmukaisia, täsmällisiä selityksiä siitä, miten käsittelet tuotteen elinkaaren loppua, ja käytä siihen todellisia esimerkkejä todistusaineistostasi.
  • Anna tilintarkastajille selkeä näköyhteys A.8.10:stä aina riskeihin, resursseihin, työnkulkuihin ja todisteisiin asti, mikä vähentää lähestymistapasi testaamiseen kuluvaa aikaa.
  • Vakuuta entisiä asiakkaita, että heidän datansa todella lähtee kun sen säilyttämiselle ei ole enää laillista perustetta, sitä tukevat nopeasti noudettavissa olevat esineet.

Jos haluat, että MSP-palveluntarjoajasi tunnustetaan palveluntarjoajana, joka käsittelee poistumiset yhtä ammattimaisesti kuin perehdytykset – ja pystyy osoittamaan tämän ISO 27001 A.8.10 -standardin mukaisesti – poiston ja offboardingin asettaminen tietoturvanhallintajärjestelmäsi ytimeen ISMS.online-alustan kaltaisen alustan avulla on käytännöllinen tapa saavuttaa tämä ja ylläpitää sitä kasvun aikana. Se viestii asiakkaille, auditoijille ja omalle tiimillesi, että elinkaaren lopun käsittely on palvelusi ydinosa, ei jälkikäteen mietitty asia.

Mark Sharron

Mark Sharron johtaa ISMS.onlinen haku- ja generatiivisen tekoälyn strategiaa. Hän keskittyy viestimään siitä, miten ISO 27001, ISO 42001 ja SOC 2 toimivat käytännössä – hän yhdistää riskit kontrolleihin, käytäntöihin ja todisteisiin auditointivalmiin jäljitettävyyden avulla. Mark tekee yhteistyötä tuote- ja asiakastiimien kanssa, jotta tämä logiikka sisällytetään työnkulkuihin ja verkkosisältöön – auttaen organisaatioita ymmärtämään ja todistamaan tietoturvan, yksityisyyden ja tekoälyn hallinnan luotettavasti.

Twitter

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.