Security control

Information Deletion (Penghapusan Informasi)

Kontrol keamanan ini memiliki dua tujuan utama, yaitu:

1. mencegah paparan informasi sensitif yang tidak diperlukan; dan

2. memastikan kepatuhan terhadap seluruh peraturan perundang-undangan serta perjanjian kontrak yang mengatur penghapusan informasi.
   
   

Information Deletion merupakan kewajiban bagi organisasi untuk memiliki rencana dan tindakan yang terstruktur dalam memusnahkan data, dengan tujuan mengurangi risiko keamanan informasi serta memastikan kepatuhan terhadap ketentuan hukum yang berlaku.

Informasi sensitif tidak boleh disimpan melebihi periode retensi yang telah ditetapkan. Penghapusan secara proaktif bertujuan untuk meminimalkan risiko pengungkapan informasi yang tidak diinginkan.

Dalam melakukan penghapusan informasi pada sistem, aplikasi, dan layanan, organisasi perlu menerapkan pertimbangan berikut:

• Pemilihan metode penghapusan
  Memilih metode penghapusan yang sesuai, seperti penimpaan elektronik (electronic overwriting) atau penghapusan kriptografi (cryptographic erasure). Pemilihan metode harus didasarkan pada kebutuhan bisnis serta mematuhi ketentuan hukum dan regulasi yang relevan.

• Dokumentasi dan bukti penghapusan
  Mencatat dan menyimpan hasil proses penghapusan informasi sebagai bukti kepatuhan.

• Penghapusan oleh pihak ketiga
  Apabila organisasi menggunakan penyedia layanan pihak ketiga untuk penghapusan informasi, maka bukti penghapusan yang sah harus diperoleh dari penyedia tersebut dan disimpan sebagai bagian dari informasi terdokumentasi.