ISO/IEC 27001 : 2022 附录 A 8.10 信息删除
ISO 27001:2022 附录 A 8.10 的目的 – 信息删除
组织应该意识到,一旦不再需要存储在内部服务器、硬盘驱动器、阵列和 USB 驱动器上的数据,他们有义务擦除这些数据。这适用于员工、用户、客户和组织的数据。
附录A的所有权 8.10
ISO 27001:2022 附录 A 控制 8.10 主要涵盖与删除和销毁数据和/或 IT 资产相关的维护活动,包括使用专用软件以及与专门从事数据和设备删除的供应商的联络。因此,所有权应归属于 IT 主管或同等职位。
ISO 27001:2022 附录 A 8.10 合规性的一般指南
确定何时应擦除数据可能具有挑战性。通常,ISO 27001:2022 附录 A 控制 8.10 要求组织在不需要时删除数据,以降低不必要的披露风险。也就是说,数据被无权访问的人看到或分发给数据。
当需要删除数据时,组织应:
选择符合任何现有法律或法规的合适删除方法。选项包括常规删除、覆盖或编码消除。
记录移除的结果以备将来参考。
确保在雇用专门的删除供应商时,组织获得足够的证据(通常通过文档)证明已执行删除。
在使用第三方供应商时,组织应准确说明其需求,包括删除方法和时间范围,并应保证删除活动包含在具有约束力的合同中。
一般指南 – 特定删除方法
组织应通过以下方式设计删除流程:
建立内部系统以删除公司保留数据和信息的政策中所述。
验证任何删除操作是否包含临时文件、缓存信息、数据副本和旧模型。
考虑使用专门的删除实用程序来降低风险。
如果需要第三方服务,则仅与经过认证的、可验证的删除专家签订合同。
实施适合相关设备的物理删除措施,例如磁性存储介质消磁、将智能手机重置为出厂设置或销毁(见附录 A 7.14)。
确保云服务提供商(尽可能)符合组织的删除要求。
关于附录A 8.10的补充资料
在发送任何服务器或工作站之前,组织应取出任何内部或外部存储设备。
