ISO 27701 klausul 6.5.3: Bedste praksis for mediesikkerhed
IKT-medier – uanset om de er aftagelige eller statiske – der bruges til at opbevare og behandle PII, betragtes ofte som det primære smertepunkt for organisationer, der ønsker at blive på den rigtige side af deres juridiske, regulatoriske og kontraktlige forpligtelser.
Vanskelighederne med at administrere flytbare medier – og PII’en på det – vokser eksponentielt med størrelsen af organisationen og antallet af medarbejdere, der har tilladelse til at bruge sådanne enheder.
Ud over deres operationelle brug skal lagringsmedier fjernes tilstrækkeligt fra netværket og bortskaffes, når det ikke længere er påkrævet, og organisationer skal sikre, at der ikke efterlades rester af nogen PII eller privatlivsrelaterede oplysninger før genbrug.
Hvad er dækket af ISO 27701 klausul 6.5.3
Hver klausul i ISO 27701 omhandler begrebet PII inden for rammerne af lagringsmedier:
- ISO 27701 6.5.3.1 – Håndtering af flytbare medier (Referencer ISO 27002 kontrol 7.10)
- ISO 27701 6.5.3.2 – Bortskaffelse af medier (Referencer ISO 27002 kontrol 7.10)
- ISO 27701 6.5.3.3 – Fysisk medieoverførsel (Referencer ISO 27002 kontrol 7.10)
ISO 27701 paragraf 6.5.3 er en sammenlægning af tre tidligere ISO 27002-klausuler, der nu er blevet konsolideret i én enkelt klausul i 2022-iterationen – ISO 27002 7.10 (Storage Media).
Hver kontrol indeholder yderligere PII-relateret vejledning, der styrer en organisations tilgang til lagermedier.
Derudover indeholder hver underklausul adskillige vejledningspunkter, der vedrører specifikke artikler inden for britisk GDPR-lovgivning.
Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 klausul 6.5.3.1 – Håndtering af flytbare medier
Referencer ISO 27002 Kontrol 7.10
Aftageligt lagringsmedie
Når organisationer udvikler politikker, der styrer håndteringen af medieaktiver, der er involveret i lagring af PII, bør organisationer:
- Udvikle unikke emnespecifikke politikker baseret på afdelings- eller jobbaserede krav.
- Sørg for, at der søges og gives korrekt autorisation, før personalet er i stand til at fjerne lagermedier fra netværket (inklusive at holde en nøjagtig og ajourført registrering af sådanne aktiviteter).
- Opbevar medier i overensstemmelse med producentens specifikationer, fri for miljøskader.
- Overvej at bruge kryptering som en forudsætning for at få adgang, eller hvor dette ikke er muligt, at implementere yderligere fysiske sikkerhedsforanstaltninger.
- Minimer risikoen for, at PII bliver beskadiget ved at overføre information mellem lagringsmedier efter behov.
- Introducer PII-redundans ved at gemme beskyttet information på flere aktiver på samme tid.
- Tillad kun brugen af lagermedier på godkendte input (dvs. SD-kort og USB-porte) på aktiv-for-aktiv-basis.
- Overvåg nøje overførslen af PII til lagermedier til ethvert formål.
- Tag hensyn til de risici, der er forbundet med fysisk overførsel af lagermedier (og ved fuldmagt, PII indeholdt på det), når du flytter aktiver mellem personale eller lokaler (se ISO 27002 5.14).
Genbrug og bortskaffelse
Ved genbrug, genbrug eller bortskaffelse af lagermedier bør der indføres robuste procedurer for at sikre, at PII ikke påvirkes på nogen måde, herunder:
- Formatering af lagringsmediet og sikring af, at al PII fjernes før genbrug (se ISO 27002 8.10), herunder opretholdelse af tilstrækkelig dokumentation for alle sådanne aktiviteter.
- Sikker bortskaffelse af medier, som organisationen ikke har yderligere brug for, og som er blevet brugt til at opbevare PII.
- Hvis bortskaffelse kræver involvering af en tredjepart, bør organisationen sørge for, at de er en egnet og ordentlig partner til at udføre sådanne opgaver, i overensstemmelse med organisationens ansvar over for PII og beskyttelse af privatlivets fred.
- Implementering af procedurer, der identificerer, hvilke lagringsmedier der er tilgængelige til genbrug eller kan bortskaffes i overensstemmelse hermed.
Hvis enheder, der er blevet brugt til at opbevare PII, bliver beskadiget, bør organisationen nøje overveje, om det er mere hensigtsmæssigt at ødelægge sådanne medier eller sende det til reparation (fejler på siden af førstnævnte).
Yderligere PII-relateret vejledning
ISO advarer organisationer mod at bruge ukrypterede lagerenheder til PII-relaterede aktiviteter.
Relevante ISO 27002 kontroller
- ISO 27002 kontrol 5.14
Gældende GDPR-artikler
- Artikel 5 – (1)(f)
- Artikel 32 – (1)(a)
ISO 27701 paragraf 6.5.3.2 – Bortskaffelse af medier
Referencer ISO 27002 Kontrol 7.10
Se ISO 27701 paragraf 6.5.3.1.
Yderligere PII-relateret vejledning
Hvis medier skal bortskaffes fra tidligere PII, bør organisationer implementere procedurer, der dokumenterer ødelæggelsen af PII og privatlivsrelaterede data, herunder kategoriske forsikringer om, at de ikke længere er tilgængelige.
Gældende GDPR-artikler
- Artikel 5 – (1)(f)
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 paragraf 6.5.3.3 – Fysisk medieoverførsel
Referencer ISO 27002 Kontrol 7.10
Se ISO 27701 paragraf 6.5.3.1.
Yderligere PII-relateret vejledning
Organisationer bør være ekstra forsigtige, når de transporterer lagermedier, der indeholder PII, til forskel fra standarddatakategorier.
Der skal opbevares optegnelser over alle indgående og udgående medier, der indeholder PII, herunder:
- Medietype (HDD, USB, SD-kort osv.).
- Autoriserede afsendere og interne modtagere.
- Dato og tidspunkt for overførsel.
- Mængden af fysiske medier, der skal overføres.
Gældende GDPR-artikler
- Artikel 5 – (1)(f)
- Artikel 32 – (1)(a)
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.5.3.1 | Håndtering af flytbare medier | 7.10 – Lagermedier til ISO 27002 | Artikler (5), (32) |
| 6.5.3.2 | Bortskaffelse af medier | 7.10 – Lagermedier til ISO 27002 | Artikel (5) |
| 6.5.3.3 | Fysisk medieoverførsel | 7.10 – Lagermedier til ISO 27002 | Artikler (5), (32) |
Hvordan ISMS.online hjælper
ISMS.online gør håndtering af personlige oplysninger let gennem en fantastisk cloud-baseret løsning til at understøtte ISO 27701-overholdelse i din organisation.
Oven i dette har vi informationssikkerhedseksperter og ressourcer til rådighed til at guide dig gennem ISO 27701 akkrediteringsprocessen.
Find ud af mere og få en praktisk demonstration af booking af en demo.
