建立你的公司的数据销毁政策的指南

由于涉及到财务和法律后果，数据泄露或泄漏的悄悄话可能会引起大多数企业高管的焦虑不安。考虑到技术进步如何导致恶意网络行为者的增加，为您的企业制定一个既定的数据销毁政策是至关重要的。 

根据IBM最近一份涉及17个国家和地区的17个行业的全球数据泄露报告，估计数据泄露的平均成本为424万美元。仅在美国，平均成本就达905万美元--迄今为止最昂贵的。启示是，在处理公司数据方面的宽松将使你付出比防止敏感信息落入恶意黑客之手更多的代价。

幸运的是，建立一个有效的数据销毁政策是保护你的企业不受损害的最便宜和最有效的方法之一。你可能会问，什么是数据销毁政策，它如何帮助保护公司的数据？我们的指南回答了这些问题，并讨论了你可能希望了解的其他主题，以保证你公司的数据安全。 

‍

什么是数据销毁？

数据销毁包括一个公司为消除数字存储设备上的敏感数据所采取的所有措施。这些存储设备可能是电话、硬盘驱动器、复印机、笔记本电脑、固态驱动器（SSD）、磁带，以及其他可以存储数据的电子设备。对于公司来说，数据销毁不仅仅是简单地删除文件和文件夹。 

当你删除一个文件或文件夹时，你只是删除了通往其在存储设备上的位置的路径。尽管没有专门的软件，你不能轻易地访问这些文件，但你删除的文件仍然留在你的驱动器上，直到新的文件覆盖它们。一个更有数字知识的人可以迅速恢复和滥用关于你的企业、客户和雇员的信息。

因此，数据销毁必须是彻底的，以防止任何形式的恢复。为了保证永久性，公司通常采用各种先进的销毁技术，如消磁、数据擦除、覆盖、粉碎和存储介质的物理销毁。

为明确起见，数据销毁与数据消毒不同。虽然这两种程序都涉及敏感数据的适当处置，但数据消毒试图优先考虑数据存储设备的再利用。磁性媒体存储设备有利于数据消毒，以防止数据保留，同时保持存储设备足够好，可以重新使用。 

‍

数据销毁法 

在美国，每家公司的数据销毁政策和执行都是由法律告知、密切监督和强制执行的。例如，硬盘的焚烧遵循国家标准和技术研究所（NIST）提供的指导方针。

事实上，大多数美国行业的销毁程序都遵循国防部规定的媒体消毒标准。公司需要注意以下行为，以保持在法律框架内。

• 1974年的《隐私法》。该法案强调公司有责任保护其客户的隐私权。因此，公司有义务确保其客户的信息隐私。该法还包括政府机构在保护委托给他们的私人信息方面的责任，甚至在使用这些信息的过程中也要慎重。该法案被扩展到涵盖私人信息，如医疗史、金融交易、就业史和生物识别数据。

• 2003年的《公平和准确信贷交易法》（FACTA）。F ACTA重申了《隐私法》的细节，特别是涉及到个人身份信息（PII）时。国土安全部（DHS）将PII定义为 "允许直接或间接推断个人身份的任何信息，包括与该个人有联系或可联系的任何信息，无论该个人是否为美国公民、合法永久居民、美国访客或该部门的雇员或承包商。"FACTA详细说明了公司仍有责任保护其客户信息的隐私和安全，使其不被授权人所掌握。公司必须履行这一义务，即使他们在处置信息时也是如此。
• 格雷姆-里奇-比利雷法案（GLBA）。这是1999年通过的《金融现代化法》。它规定企业（特别是金融公司）有义务告知客户他们打算如何使用或分享他们的私人财务信息。
• 1934年的《社会安全法》。该法案规定了公司绝对不能向第三方透露的禁止信息。受该法案保护的信息从客户的社会安全号码开始。无论公司是故意提供信息还是因疏忽而泄露信息，对违反这些信息的处罚都是有效的。

此外，各州也有管理数据销毁的法律。联邦贸易委员会（FTC）法案和健康保险可携性和责任法案（HIPAA）是保护人们的PII企业和组织的较新法律。

‍

什么是数据销毁政策？

信息技术的进步已经极大地影响了企业的运作方式。因此，公司需要建立适当的安全政策或程序来处理客户的个人身份信息（PII）。 

数据销毁政策是一个公司建立的协议，以完全和安全地从其存储设备中删除数据。其目的是为了防止由于低效删除而导致的滥用或未经授权访问私人信息的行为。一个有效的政策可以防止任何形式的数据保留，并保证对机密数据进行消毒、删除或完全处理。 

‍

哪些类型的数据需要被销毁？ 

根据现有的数据销毁法，公司必须销毁以下物品以保护客户的数据。

• 身份证
• 银行报表
• 信用卡账单
• 无效检查
• 合同
• 预算
• 内部报告
• 应用
• 评估
• 客户名单
• 客户联系表
• 退休的公司存储设备
• 雇员记录
• 财务报表
• 医疗报告

‍

你的公司需要一个数据销毁政策的原因

采取积极主动的方法，通过有效的数据销毁来保护客户和雇员的数据，在许多方面对公司有利。

首先，一个全面的数据销毁政策可以保护你的公司免受数据泄露和对公司信息的未授权访问。结构框架提供了一个模式，指导从不同的设备销毁不同的数据类型，使这一过程毫不费力且彻底。

此外，数据销毁政策提高了客户对你的信任。它使他们在与你的交易中感到安心--在你的销售过程中消除了犹豫和反对的情绪。 

此外，建立一个处理数据销毁的政策，可以保护你的公司不因疏忽而违反当地或联邦法律。 

‍

数据销毁政策的基本组成部分

每一项数据销毁政策都必须从界定角色和责任的全面结构开始。数据销毁政策的结构应反映贵公司的需求和情况。让我们回顾一下您的政策中应包括的一些基本组成部分。

‍

政策声明 

最好是在开始销毁数据时，介绍你的政策或政策声明、政策编号和标题。 

你的政策声明应包括。

• 关于为什么需要数据预防政策的背景
• 介绍政策的其他组成部分
• 创建政策的负责方
• 各部门在政策方面的作用
• 关于政策何时生效的细节
• 实施数据销毁政策的准则
• 衡量政策结果的标准

‍

宗旨 

接下来，你的数据销毁政策应该解决公司为什么需要创建一个。该目的应阐明与数据销毁相关的背景、重要性和后果。如果您还试图列举政策对不同利益相关者的好处，那就最好不过了。

范围 

范围应该详细说明政策的范围和限制。它有助于界定哪些部门或活动将受到影响，以及你希望该政策将如何塑造公司。如果你还涉及到将受政策影响的部门、员工和业务，包括他们的角色和责任以及对他们的考虑，那就最好了。

程序声明 

程序性声明应给出在数据销毁过程中实施的协议的具体细节。 

它应包括以下内容。

• 数据销毁过程中所有责任方之间的关系
• 公司为数据销毁提供的工具和资源
• 销毁所涉及的程序的分步应用
• 在哪里以及如何报告数据销毁活动的细节

‍

执法 

仅仅创建和传达您的数据销毁政策是不够的。你必须包括一个问责协议，以确保该政策得到严格遵守。政策的执行应该从审查和更新政策开始。

你应该包括一个适当的定义来衡量政策的结果。此外，应明确说明不遵守政策的后果，以及监测和评估系统。

‍

确保公司数据安全Phonecheck

数据销毁政策可保护公司数据免遭未经授权的访问或恶意行为者的破坏。这可以树立积极的品牌形象，并赢得客户的信任。然而，大多数公司都不知道如何有效销毁数据。这就是 Phonecheck的作用。

您只需花一杯咖啡的钱，就可以在Phonecheck 上购买一份历史报告，从而避免代价高昂的隐患。我们符合行业标准的企业软件可确保公司敏感数据在出售或处置前从各种存储设备中清除。这样，您就可以放心地开展业务，因为您知道您的敏感信息是安全的。

‍