数据保留与删除的重要建议

数据为组织带来巨大价值的同时，也带来了妥善处理其存储、治理和安全的责任。企业应如何应对这一重要任务？本文将回顾关键策略。

数据量的关注重点

是否应该担心数据过多？最好不要单纯关注数据量的大小，而应关注理解这些数据的构成：多少数据是敏感的、业务关键的，以及有多大比例是冗余、过时或琐碎的。

过度保留冗余数据会增加数据运营成本，并带来风险——如果不需要，为何要保留？作为数据处理器或控制者，应始终了解敏感数据的存储位置，以便在法规和法律范围内进行处理。

数据认知的重要性

“了解你的数据"是评估内容处理时间、地点和原因的关键部分。理解这一点将帮助组织了解多少是过多——例如，过度保留个人身份信息（PII）或大量未受安全控制充分保护的知识产权（IP）。

制定数据保留策略

确定应删除哪些数据对每个组织都是独特的，由监管、司法和组织要求共同决定。组织需要确保了解其日常运营中处理的数据类型，以及如何通过有效的保留计划表和政策进行治理。

商定的保留计划表应识别适用于处理内容的不同类型内容（物理、电子）和分类（PII、IP、财务、记录），以及应如何处理（例如，七年后删除）。组织必须认识到一刀切的方法并不总是合适的，不同类型的内容需要不同的处理方式（例如，通用数据保护条例下的PII）。

有效数据管理的好处

有效的数据保留不仅改善法规合规态势，还通过减少数据重复和改进知识管理来提高生产力。通过系统性地消除冗余、过时、琐碎和重复的数据，组织可以简化数据存储，使定位和访问相关信息更加容易。

数据管理不善的风险

然而，未能有效管理数据可能给组织带来若干重大风险：

数据泄露：糟糕的数据管理增加了未经授权访问不当保留内容的风险。违规可能导致重大财务损失、声誉损害和监管后果。

合规违规：未能遵守GDPR等数据隐私和保护法规可能导致巨额罚款和法律处罚。

生产力损失：低效的数据管理流程可能浪费宝贵的时间和资源。组织员工可能花费过多时间搜索数据、纠正错误和处理数据相关问题。

财务损失：数据泄露和合规违规可能因补救成本、法律费用和监管罚款而导致重大财务损失。

声誉损害：糟糕的数据管理可能损害组织声誉，导致客户信任和商业机会的丧失。

实施建议

强烈建议任何规模、任何行业的组织制定数据生命周期管理策略。与业务利益相关者合作是制定保留计划表的内在组成部分，该计划表应代表组织的数据地图，并对其处理方式提供治理。仅靠IT部门无法创建此类政策。

一旦建立了涵盖物理、数字、结构化和非结构化数据的健全文档化政策，下一步就是采用以人员、流程和技术为中心的解决方案来执行它。

结论

数据管理策略不仅是监管要求，更是战略优势。通过与关键利益相关者合作制定和采用健全的保留计划表和分类模型，组织可以降低风险、提高生产力并确保合规。有效的数据治理有助于简化运营、降低成本并保护敏感信息，最终培育更安全、更高效的商业环境。采用这些策略将使组织能够充分利用其数据的潜力，同时保护其声誉和资源。

关于作者

作为Quorum Cyber的数据安全负责人和前微软技术专家，Leon Butler作为技术主题专家已有十多年经验，通过在制造和金融等行业推广云服务推动数字化转型。Leon专门指导组织实现强有力的法规合规和信息安全。凭借对Microsoft 365安全功能和行业最佳实践的深入理解，他监督客户集成和部署工作。