很多存储管理员以为，数据保留（data retention）是一个只有“大公司”才关注的问题，与电子搜索（e-discovery）和数据法规遵从密切相关。而事实上，中小型企业也同样受到数据保留相关法规的影响和制约。在这一点上，中小型企业和大型企业没有任何区别。然而，中小型企业在数据保留方面的执行力度却往往有所欠缺。根据我个人在工作中的所见所闻，中小型企业对安全和隐私的控制与数据保留基本一样。由于受到预算的制约或管理疏忽，很多企业希望保留数据，但往往不能做到。问题的部分原因在于，数据保留对不同的企业来说有着不同的意味。比如，大型企业内部一般会有专门的法律顾问和法规遵从经理，而这对大多数中小型企业来说太奢华了，不太容易实现。存储管理员的律师由于不清楚最新的数据保留要求，所以往往帮不上什么忙，从而导致存储管理员不知道从何做起。如果你也陷入这样的法规困境，不用担心，和你一样的人多的是。要想不让业务受影响，请不要忽视下面这些关键的数据保留原则：

•弄清你有哪些数据、存储于网络、独立系统和存储设备的何处。大多数企业没有做到这一点。业务经理，甚至存储经理，都常常不知道网络中到底有多少知识财产和客户敏感信息。有很多工具可以帮助你获取这些信息，如果你用不着这些工具的全部电子搜索功能，你也可以使用数据搜索工具。对于个人信息，你可以使用Identity Finder，知识财产信息则可以使用FileLocator Remote。

• 文档记录数据保留策略，并确保每个人都了解它。一个好的策略可以清楚地告诉大家我们已经做了哪些工作，还有哪些工作有待完成。

• 删除数据时要小心谨慎。保存数据时也不能疏忽大意，注意数据的保留时间。“删除所有内容”是个非常危险的做法，而且如果需要进行电子搜索，你很难证明你没有企图掩盖什么。另一方面，“保存所有内容”也不是一个可取的做法。并不是所有数据都是一样重要的，需要区别对待。保存所有数据会给企业带来巨大的存储花销和长期管理成本。

• 不要依赖员工执行数据保留策略。要确保数据保留策略的落实，员工和网络用户是不可靠的。例如，你可以在备份软件中设定磁带的数据保留安排，或者创建一个文件清理脚本定期清理邮件、文件等。即便是有了合理的程序和控制，而且你也比较重视和注意，还是会有些数据过早的被删除，也会有数据保留的时间过长。这对中小型企业来说是个噩梦，有些东西是需要时间来逐渐改善和完备的。大约半年之后，进行一次审计，检验一下系统的工作状况，查漏补缺，以后则每年检验一次，逐步完善。

一定要记住，保留了业务数据并不意味着这些数据可以轻松地访问，甚至无法访问。但是，你必须得保留数据才能满足电子搜索需求或帮助业务伙伴迅速进行审计。只有完善的程序和技术控制，包括备份完整性的测试，才能帮助你满足这些需求。此外，如果你的活动数据或保留数据是加密的，你还需要通行码或加密密钥。如果你无法访问你的加密数据，那么你的业务有可能会受影响。数据保留并不仅仅是法规遵从的事，它还关系到HR、业务伙伴和诉讼等很多问题，它是一个非常复杂的问题——即使是对中小型企业来说。在数据保留方面，中小企业和大型企业的操作应该是一样的。如果你的律师不了解数据保留的来龙去脉，那么请你换一个了解这一切的律师。