ISO 27701 Klausul 6.5.3: Bästa praxis för mediesäkerhet
IKT-medier – oavsett om de är avtagbara eller statiska – som används för att lagra och bearbeta PII ses ofta som den primära smärtpunkten för organisationer som vill hålla sig på rätt sida av sina juridiska, regulatoriska och avtalsenliga skyldigheter.
Svårigheterna med att hantera flyttbara media – och PII som finns på det – växer exponentiellt med storleken på organisationen och antalet anställda som får använda sådana enheter.
Utöver deras operativa användning måste lagringsmedia avlägsnas på lämpligt sätt från nätverket och kasseras när det inte längre behövs, och organisationer måste säkerställa att inga rester av PII eller integritetsrelaterad information lämnas innan återanvändning.
Vad som omfattas av ISO 27701 klausul 6.5.3
Varje klausul inom ISO 27701 handlar om konceptet PII, inom ramen för lagringsmedia:
- ISO 27701 6.5.3.1 – Hantering av flyttbara media (Referenser ISO 27002 kontroll 7.10)
- ISO 27701 6.5.3.2 – Kassering av media (Referenser ISO 27002 kontroll 7.10)
- ISO 27701 6.5.3.3 – Fysisk mediaöverföring (Referenser ISO 27002 kontroll 7.10)
ISO 27701 klausul 6.5.3 är en sammanslagning av tre tidigare ISO 27002-klausuler, som nu har konsoliderats till en enda klausul i 2022 iterationen – ISO 27002 7.10 (Storage Media).
Varje kontroll innehåller ytterligare PII-relaterad vägledning som styr en organisations inställning till lagringsmedia.
Dessutom innehåller varje underklausul flera vägledningspunkter som relaterar till specifika artiklar inom brittisk GDPR-lagstiftning.
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.5.3.1 – Hantering av flyttbara media
Referenser ISO 27002 Kontroll 7.10
Flyttbart lagringsmedia
När organisationer utvecklar policyer som styr hanteringen av mediatillgångar som är involverade i lagring av PII, bör organisationer:
- Utveckla unika ämnesspecifika policyer baserade på avdelnings- eller jobbbaserade krav.
- Se till att rätt auktorisation söks och beviljas innan personal kan ta bort lagringsmedia från nätverket (inklusive att hålla en korrekt och uppdaterad journal över sådana aktiviteter).
- Förvara media i enlighet med tillverkarens specifikationer, fritt från miljöskador.
- Överväg att använda kryptering som en förutsättning för att få åtkomst, eller där detta inte är möjligt, implementera ytterligare fysiska säkerhetsåtgärder.
- Minimera risken för att PII ska skadas genom att överföra information mellan lagringsmedier efter behov.
- Introducera PII-redundans genom att lagra skyddad information på flera tillgångar samtidigt.
- Tillåt endast användning av lagringsmedia på godkända ingångar (dvs. SD-kort och USB-portar), på en tillgång-för-tillgångsbasis.
- Övervaka noggrant överföringen av PII till lagringsmedia, för alla ändamål.
- Ta hänsyn till de risker som är inneboende med fysisk överföring av lagringsmedia (och genom proxy, PII som finns på det), när du flyttar tillgångar mellan personal eller lokaler (se ISO 27002 5.14).
Återanvändning och kassering
Vid återanvändning, återanvändning eller kassering av lagringsmedia bör robusta procedurer införas för att säkerställa att PII inte påverkas på något sätt, inklusive:
- Formatera lagringsmediet och se till att all PII tas bort före återanvändning (se ISO 27002 8.10), inklusive underhåll av adekvat dokumentation av alla sådana aktiviteter.
- Säker kassering av media som organisationen inte har någon vidare användning för och som har använts för att lagra PII.
- Om bortskaffande kräver inblandning av en tredje part, bör organisationen se till att de är en lämplig och lämplig partner för att utföra sådana uppgifter, i linje med organisationens ansvar gentemot PII och integritetsskydd.
- Implementering av procedurer som identifierar vilka lagringsmedier som är tillgängliga för återanvändning eller kan kasseras i enlighet med detta.
Om enheter som har använts för att lagra PII skadas, bör organisationen noggrant överväga om det är lämpligare att förstöra sådana media eller inte, eller skicka det för reparation (fel på sidan av det förstnämnda).
Ytterligare PII-relaterad vägledning
ISO varnar organisationer för att använda okrypterade lagringsenheter för PII-relaterade aktiviteter.
Relevanta ISO 27002-kontroller
- ISO 27002 Kontroll 5.14
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
- Artikel 32 – (1 a)
ISO 27701 Klausul 6.5.3.2 – Kassering av media
Referenser ISO 27002 Kontroll 7.10
Se ISO 27701 klausul 6.5.3.1.
Ytterligare PII-relaterad vägledning
Om media ska kasseras den tidigare innehade PII, bör organisationer implementera procedurer som dokumenterar förstörelsen av PII och integritetsrelaterad data, inklusive kategoriska försäkringar om att den inte längre är tillgänglig.
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.5.3.3 – Fysisk mediaöverföring
Referenser ISO 27002 Kontroll 7.10
Se ISO 27701 klausul 6.5.3.1.
Ytterligare PII-relaterad vägledning
Organisationer bör vara extra försiktiga när de transporterar lagringsmedia som innehåller PII, till skillnad från standarddatakategorier.
Register bör föras över alla inkommande och utgående media som innehåller PII, inklusive:
- Medietyp (HDD, USB, SD-kort etc).
- Auktoriserade avsändare och interna mottagare.
- Datum och tid för överföring.
- Mängden fysiskt media som ska överföras.
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
- Artikel 32 – (1 a)
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.5.3.1 | Hantering av flyttbara media | 7.10 – Lagringsmedia för ISO 27002 | Artiklar Lagring, Lagring |
| 6.5.3.2 | Avfallshantering av media | 7.10 – Lagringsmedia för ISO 27002 | Artikeln Lagring |
| 6.5.3.3 | Fysisk mediaöverföring | 7.10 – Lagringsmedia för ISO 27002 | Artiklar Lagring, Lagring |
Hur ISMS.online hjälper
ISMS.online gör personlig informationshantering enkel genom en fantastisk molnbaserad lösning för att stödja ISO 27701-efterlevnad i din organisation.
Utöver detta har vi informationssäkerhetsexperter och resurser tillgängliga för att guida dig genom ISO 27701-ackrediteringsprocessen.
Ta reda på mer och få en praktisk demonstration av boka en demo.
