Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.3.21: Sikker bortskaffelse eller genbrug af udstyr

Kontrol A.3.21 kræver, at organisationer verificerer, at udstyr, der indeholder lagringsmedier med PII, er blevet slettet sikkert, eller at følsomme data er blevet fjernet før bortskaffelse eller genbrug. Dette forhindrer, at PII kan gendannes fra udtjent hardware.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.3.21?

Udstyr, der indeholder lagringsmedier med personoplysninger, skal verificeres for at sikre, at følsomme data og licenseret software er blevet fjernet eller overskrevet sikkert inden bortskaffelse eller genbrug.

Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og omhandler en kritisk risiko ved udtjent levetid: Personoplysninger, der forbliver på lagringsmedier i udtjent eller omfordelt udstyr, kan gendannes ved hjælp af let tilgængelige retsmedicinske værktøjer. Uden verificeret dataødelæggelse risikerer organisationer betydelige databrud, hver gang de bortskaffer, sælger, donerer eller omfordeler hardware.

Hvad står der i implementeringsvejledningen i bilag B?

Bilag B (afsnit B.3.21) indeholder følgende vejledning:

  • Sørg for sikkerhed ved omtildeling af lagerplads — Når lagerplads tildeles igen, må eventuelle personhenførbare oplysninger, der tidligere befandt sig på den pågældende lagerplads, ikke være tilgængelige for den nye bruger eller det nye system.
  • Håndter udfordringer med ydeevnerelaterede sletninger — Eksplicit sletning af personoplysninger kan være upraktisk på grund af begrænsninger i systemets ydeevne, hvilket skaber en risiko for, at en anden bruger kan få adgang til de personoplysninger. Denne risiko bør undgås ved hjælp af specifikke tekniske foranstaltninger.
  • Standardindstillingen er, at alle medier behandles som indeholdende personligt identificerbare oplysninger — Udstyr, der indeholder lagringsmedier, som muligvis kan indeholde PII, skal behandles, som om det indeholder PII, idet det sikres, at sikre bortskaffelsesprocedurer anvendes, uanset om tilstedeværelsen af ​​PII er bekræftet.
  • Se også A.3.5: Klassificering af oplysninger for relaterede krav
  • Se også A.3.6: Mærkning af oplysninger for relaterede krav

Forsigtighedstilgangen i vejledningen er vigtig: I stedet for at kræve, at organisationer skal afgøre, om hvert stykke udstyr rent faktisk indeholder PII (hvilket kan være vanskeligt og fejlbehæftet), anbefaler standarden at behandle alt udstyr med lagringsmedier, som om det indeholder PII.

Hvordan relaterer dette sig til GDPR?

Kontrol A.3.21 knyttes til følgende GDPR artikel:

  • Artikel 5, stk. 1, litra f) — Princippet om integritet og fortrolighed, der kræver passende sikkerhed for personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller beskadigelse

Manglende sikker bortskaffelse af udstyr er en af ​​de mest almindelige og synlige måder, hvorpå organisationer overtræder artikel 5(1)(f), hvilket ofte resulterer i håndhævelsesforanstaltninger og betydelige bøder.

For den fulde GDPR-til-ISO 27701-kortlægning, se Vejledning til overholdelse af GDPR.

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav dækket af klausul 6.8.2.7 (sikker bortskaffelse eller genbrug af udstyr). 2025-udgaven bevarer de samme kernekrav som A.3.21 med implementeringsvejledning i B.3.21. Princippet om at behandle alt medieholdigt udstyr, som om det indeholder personoplysninger, er fortsat en vigtig anbefaling. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.onlines kraftfulde dashboard

Start din gratis prøveperiode

Vil du udforske?

Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde

Kom i gang


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.3.21 vil revisorer typisk se efter:

  • Politik om datadestruktion — En dokumenteret politik, der specificerer, hvordan udstyr, der indeholder personoplysninger, skal desinficeres før bortskaffelse eller genbrug, herunder godkendte metoder (f.eks. kryptografisk sletning, degaussing, fysisk destruktion)
  • Destruktionsattester — Skriftlig bekræftelse fra interne teams eller tredjepartsleverandører af bortskaffelse af data om, at destruktionen af ​​data er fuldført, ideelt set med henvisning til specifikke aktiv- eller serienumre
  • Register over afhændelse af aktiver — En log over alt bortskaffet eller omfordelt udstyr, med registrering af aktividentifikator, bortskaffelsesdato, metode til datadestruktion og den ansvarlige person
  • Aftale om bortskaffelse af tredjeparter — Hvor bortskaffelse outsources, kontrakter, der specificerer standarder for datadestruktion og ansvar, med dokumentation for due diligence fra bortskaffelsesleverandørens side
  • Verifikationstjek — Dokumentation for, at datadestruktion er blevet verificeret (f.eks. stikprøvekontrol, stikprøvekontrol eller automatiserede verifikationsrapporter fra datasletningsoftware)

Hvad er de relaterede kontroller?

kontrol Relationship
A.3.20 Lagringsmedier Bortskaffelse er den sidste fase af lagringsmediets livscyklus, der administreres af A.3.20 Lagringsmedier
A.1.4.9 Bortskaffelse Dataansvarligspecifikke krav til bortskaffelse af personoplysninger, som supplerer bortskaffelse af fysisk udstyr
A.1.4.6 Afidentifikation og sletning Krav til datasletning, der skal være opfyldt før bortskaffelse af udstyr
A.3.10 Leverandøraftaler Tredjepartsleverandører af bortskaffelse skal være bundet af relevante kontraktvilkår
A.3.14 Beskyttelse af optegnelser Bortskaffelsesattester og -registre skal opbevares som dokumentation

Hvem gælder denne kontrol for?

A.3.21 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Enhver organisation, der ejer eller lejer udstyr, der kan lagre PII, skal sikre sikker datadestruktion, før udstyret skifter hænder, hvad enten det sker ved bortskaffelse, salg, donation, returnering (ved leasingaftalens udløb) eller intern omdisponering.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvorfor vælge ISMS.online til håndtering af bortskaffelse af udstyr?

ISMS.online giver praktiske værktøjer til sikker bortskaffelse og genbrug af udstyr:

  • Sporing af aktivernes livscyklus — Spor alt udstyr fra anskaffelse til bortskaffelse, med statusopdateringer og ejerhistorik knyttet til dit aktivregister
  • Bortskaffelsesarbejdsgange — Udløs bortskaffelsesarbejdsgange, der kræver verifikation af datadestruktion, før et aktiv kan markeres som udfaset
  • Certifikatlagring — Upload og link destruktionsattester direkte til aktivregistre, og opret et komplet revisionsspor
  • Leverandørstyring — Administrer tredjeparts bortskaffelsesleverandører med kontraktregistreringer, due diligence-dokumentation og præstationsvurderinger
  • Automatiserede bevispakker — Generer revisionsklare dokumentpakker, der kombinerer aktivregistre, bortskaffelseslogge og destruktionscertifikater for at overholde A.3.21-kravene.

Ofte Stillede Spørgsmål

Hvilke metoder til datadestruktion er acceptable?

Acceptable metoder omfatter kryptografisk sletning (gør krypterede data ulæselige ved at ødelægge krypteringsnøglerne), sikker overskrivning ved hjælp af branchestandardalgoritmer (f.eks. NIST 800-88-retningslinjer), degaussing (for magnetiske medier) og fysisk destruktion (makulering, knusning eller forbrænding). Den valgte metode bør stå i forhold til følsomheden af ​​de personlige oplysninger og typen af ​​lagringsmedie. For solid-state-drev (SSD'er) foretrækkes kryptografisk sletning eller fysisk destruktion, fordi traditionel overskrivning muligvis ikke når alle lagringsceller.

Hvad med leaset udstyr, der returneres til udlejer?

Leaset udstyr skal behandles på samme måde som kasseret udstyr: alle personoplysninger skal slettes sikkert før returnering. Leasingaftalen bør specificere ansvaret for datadestruktion og give organisationen tilladelse til at udføre eller verificere datasletning, før udstyret forlader dens lokaler. Hvis udlejer håndterer destruktion, skal der indhentes skriftlig bekræftelse og destruktionsattester.

Skal beskadiget eller defekt udstyr behandles anderledes?

Beskadiget udstyr kræver ekstra forsigtighed, fordi softwarebaseret datasletning muligvis ikke er mulig. Hvis lagringsmediet stadig er intakt, er fysisk destruktion normalt den sikreste løsning. Hvis udstyret sendes til reparation, bør organisationen vurdere, om lagringsmedier, der indeholder personoplysninger, kan fjernes, før udstyret forlader dens lokaler. Implementeringsvejledningens forsigtighedsprincip gælder: Hvis udstyret kan indeholde personoplysninger, skal det behandles, som om det gør.

Se vores vejledning om krav til revisionsbeviser hvad revisorerne forventer.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.