ImageVerifierCode 换一换
格式:PDF , 页数:16 ,大小:317.17KB ,
资源ID:685437      下载积分:10000 积分
快捷下载
登录下载
邮箱/手机:
温馨提示:
如需开发票,请勿充值!快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝扫码支付 微信扫码支付   
注意:如需开发票,请勿充值!
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【http://www.mydoc123.com/d-685437.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(DIN SPEC 66399-3-2013 Office machines - Destruction of data carriers - Part 3 Process for destruction of data carriers《办公机械 数据载体的摧毁 第1部分 数据载体的摧毁过程》.pdf)为本站会员(赵齐羽)主动上传,麦多课文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知麦多课文库(发送邮件至master@mydoc123.com或直接QQ联系客服),我们立即给予删除!

DIN SPEC 66399-3-2013 Office machines - Destruction of data carriers - Part 3 Process for destruction of data carriers《办公机械 数据载体的摧毁 第1部分 数据载体的摧毁过程》.pdf

1、Februar 2013 Normenausschuss Informationstechnik und Anwendungen (NIA) im DINPreisgruppe 10DIN Deutsches Institut fr Normung e. V. Jede Art der Vervielfltigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut fr Normung e. V., Berlin, gestattet.ICS 35.260Zur Erstellung einer DIN SP

2、EC knnen verschiedene Verfahrensweisen herangezogen werden: Das vorliegende Dokument wurde nach den Verfahrensregeln einer Vornorm erstellt.!$V)“1935106www.din.deDDIN SPEC 66399-3Bro- und Datentechnik Vernichten von Datentrgern Teil 3: Prozess der DatentrgervernichtungOffice machines Destruction of

3、data carriers Part 3: Process for destruction of data carriersBureautique et informatique Destruction de vhicules de donnes Partie 3: Processus de destruction de vhicules de donnesAlleinverkauf der Spezifikationen durch Beuth Verlag GmbH, 10772 Berlin www.beuth.deGesamtumfang 16 SeitenDIN SPEC 66399

4、-3:2013-02 2 Inhalt Seite Vorwort . 3 1 Anwendungsbereich 4 2 Normative Verweisungen . 4 3 Prozessablauf 4 3.1 Allgemeines . 4 3.2 Prozessdefinition 5 3.3 Ermittlung der Risikostruktur 6 3.4 Prozessdurchfhrung 6 3.5 Kontrolle und Prfung 7 3.5.1 Anforderungen an die verantwortliche Stelle 7 3.5.2 Pro

5、zesssicherheit . 7 3.5.3 Anforderungen an Zertifikate von Dienstleistern 7 4 Prozesskriterien 8 4.1 Allgemeines . 8 4.2 Kriterien fr alle Varianten der Datentrgervernichtung 8 4.3 Kriterien fr Variante 1 . 9 4.4 Kriterien fr Variante 2 . 10 4.5 Kriterien fr Variante 3 . 11 4.6 Kriterien Infrastruktu

6、r Dienstleister fr Variante 3 14 4.7 bernahmeprotokoll . 16 4.8 Vernichtungsprotokoll . 16 Bilder Bild 1 Datentrgervernichtung . 5 Tabellen Tabelle 1 Allgemeine Prozesskriterien . 8 Tabelle 2 Kriterien fr Variante 1 . 9 Tabelle 3 Kriterien fr Variante 2 . 10 Tabelle 4 Kriterien fr Variante 3 . 12 Ta

7、belle 5 Kriterien Infrastruktur Dienstleister fr Variante 3 15 DIN SPEC 66399-3:2013-02 3 Vorwort Das vorliegende Dokument (DIN SPEC 66399-3) wurde vom Arbeitsausschuss NA 043-01-51 AA Vernich-tung von Datentrgern“ im Normenausschuss Informationstechnik und Anwendungen (NIA) ausgearbeitet. Jeder, de

8、r selbst oder im Auftrag vertrauliche, personenbezogene und/oder sensible Daten verarbeitet, hat eine datenschutzgerechte und sichere Vernichtung und Entsorgung der Datentrger sicherzustellen. Sicher vernichtet bedeutet in diesem Zusammenhang, dass die Datentrger, auf denen schutzbedrftige Informati

9、onen dargestellt sind, so zu vernichten sind, dass die Reproduktion der auf ihnen wiedergegebenen Informationen entweder unmglich ist oder weitgehend erschwert wird (siehe DIN 66399-1 und -2). Hierbei ist nicht nur die datenschutzgerechte und sichere Vernichtung zu beachten, sondern der gesamte Proz

10、ess von der Anfallstelle bis zur umweltfreundlichen Verwertung/Beseitigung unter Beachtung der jeweils geltenden Gesetze und Vorschriften. Eine DIN SPEC nach dem Vornorm-Verfahren ist das Ergebnis einer Normungsarbeit, das wegen bestimmter Vorbehalte zum Inhalt oder wegen des gegenber einer Norm abw

11、eichenden Aufstellungsverfahrens vom DIN noch nicht als Norm herausgegeben wird. Erfahrungen mit dieser DIN SPEC sind erbeten vorzugsweise als Datei per E-Mail an niadin.de in Form einer Tabelle. Die Vorlage dieser Tabelle kann im Internet unter http:/www.din.de/stellungnahme abgerufen werden; oder

12、in Papierform an den Normenausschuss Informationstechnik und Anwendungen (NIA) im DIN DIN 66399 Bro- und Datentechnik Vernichtung von Datentrgern besteht aus: Teil 1: Grundlagen und Begriffe Teil 2: Anforderungen an Maschinen zur Vernichtung von Datentrgern DIN SPEC 66399 Bro- und Datentechnik Verni

13、chtung von Datentrgern Teil 3: Prozess der Datentrgervernichtung DIN SPEC 66399-3:2013-02 4 1 Anwendungsbereich Diese Norm gilt sowohl fr die verantwortliche Stelle, sowie alle am Vernichtungsprozess Beteiligten, und legt die Anforderungen an die jeweiligen Prozessschritte fest. 2 Normative Verweisu

14、ngen Die folgenden zitierten Dokumente sind fr die Anwendung dieses Dokuments erforderlich. Bei datierten Verweisungen gilt nur die in Bezug genommene Ausgabe. Bei undatierten Verweisungen gilt die letzte Ausgabe des in Bezug genommenen Dokuments (einschlielich aller nderungen). DIN 66399-1, Bro- un

15、d Datentechnik Vernichten von Datentrgern Teil 1: Grundlagen und Begriffe DIN 66399-2, Bro- und Datentechnik Vernichten von Datentrgern Teil 2: Anforderungen an Maschinen zur Vernichtung von Datentrgern 3 Prozessablauf 3.1 Allgemeines Die Vernichtung von Datentrgern ist als ein Prozess aufzufassen,

16、der in seinen einzelnen Prozessabschnitten zu untersuchen und sicher zu gestalten ist. Die verantwortliche Stelle ist fr den gesamten Prozess (intern/extern) bis zur endgltigen Vernichtung der Datentrger verantwortlich. Der Prozess der Datentrgervernichtung endet, wenn die vereinbarte Sicherheitsstu

17、fe erreicht ist. In der Regel luft der Prozess vom Anfall der zu vernichtenden Datentrger bis zur umweltvertrglichen Vernichtung arbeitsteilig ab. Werden Dienstleister in den Prozess einbezogen, so ist die Aufgabenabgrenzung zwischen der verantwortlichen Stelle und dem Dienstleister klar zu regeln.

18、Aufgrund von Rechtsvorschriften sind in diesem Prozess vor allem technische und organisatorische Manahmen zu ergreifen. Die Darstellung in Bild 1 zeigt die in der Norm behandelten Prozessvarianten mit den jeweils zugehrigen Prozessabschnitten. DIN SPEC 66399-3:2013-02 5 Bild 1 Datentrgervernichtung

19、3.2 Prozessdefinition Die im Rahmen einer Risikoanalyse aufgezeigten technischen und organisatorischen Manahmen zur sicheren und datenschutzgerechten Vernichtung von Datentrgern mssen unter Bercksichtigung des Standes der Technik den Schutzbedarf sicherstellen, der den vom Vernichtungsprozess ausgeh

20、enden Risiken und der Art der zu schtzenden Daten angemessen ist. Um Daten vor Missbrauch zu schtzen, bedarf es eines Sicherheits- und Kontrollsystems, das eine zuverlssige Qualitt des Vernichtungsprozesses vor Ort bei der verantwortlichen Stelle oder extern beim Dienstleister sicherstellt. Schutzzw

21、eck im Vernichtungsprozess ist die Verhinderung von Datenmissbrauch. Um dem Wirtschaftlichkeits- bzw. Angemessenheitsprinzip Rechnung zu tragen, sollten die zu vernichtenden Datentrger in Schutzklassen (siehe DIN 66399-1, Schutzklasse 1 bis 3) eingeteilt werden. Fallen Datentrger unterschiedlicher S

22、icherheitsstufen an der Anfallstelle an, so ist aus kologischen und konomischen Grnden die Trennung in verschiedene Sicherheitsstufen an der Anfallstelle empfohlen. DIN SPEC 66399-3:2013-02 6 3.3 Ermittlung der Risikostruktur Die Kategorisierung der zu schtzenden Daten wird hinsichtlich der Sensibil

23、itt ber die in DIN 66399-1 vorhandenen Tabellen vorgenommen. Grundstzlich sollte eine Beeintrchtigung der unmittelbaren Funktionsfhigkeit von Datentrgern in den frhen Prozessabschnitten des Vernichtungsprozesses (Anfall und Sammlung) erfolgen. Bei elektronischen und magnetischen Datentrgern wird vor

24、 dem Vernichten das Lschen oder berschreiben empfohlen. So wird die Attraktivitt der Datentrger in Bezug auf Entwendung geschmlert und fr die nachfolgenden Prozessschritte eine Basissicherheit erreicht. Nach Abwgung des Schutzbedarfs kann dann bei der Vernichtung eine geringere Sicherheitsstufe gewh

25、lt werden. Wenn eine Beeintrchtigung der unmittelbaren Funktionsfhigkeit bzw. Lschen/berschreiben nicht mglich ist, muss die notwendige Sicherheitsstufe in der gewhlten Schutzklasse angewendet werden. Bei Anwendung einer Prozessvariante ist im Vorfeld zu berprfen, ob die technischen und organisatori

26、schen Anforderungen der entsprechenden Schutzklasse und Sicherheitsstufe erfllt werden. Die verantwortliche Stelle definiert den Schutzbedarf und die Schutzklasse. Insoweit sind folgende Fragen zu beantworten: Welche Informationen sind schutzwrdig und in welche Schutzklasse einzuordnen? Was? Vernich

27、tung in welcher Sicherheitsstufe? Wie? Vernichtung durch die verantwortlich Stelle direkt oder Vernichtung durch Dienstleister? Wer? Vernichtung vor Ort durch Dienstleister oder extern durch Dienstleister? Wo? Technische und organisatorische Manahmen am Anfallort, beim Transport und beim Dienstleist

28、er? Wie? Daraus resultiert die operative Abwicklung (Sicherheitskonzept). 3.4 Prozessdurchfhrung Voraussetzung fr eine ordnungsgeme Durchfhrung des Prozesses ist eine detaillierte Organisation, in der der Ablauf dokumentiert, die Zustndigkeiten festgelegt, die gesetzlichen und betrieblichen Rahmen-b

29、edingungen spezifiziert und die Anforderungen an das im Prozess eingesetzte Personal vorgegeben sind. Der Prozess ist so zu gestalten, dass nach der Entscheidung der verantwortlichen Stelle den Datentrger zu vernichten, unter Bercksichtigung des Schutzbedarfes, keine Unbefugten Kenntnis der Daten er

30、halten. Es sind entsprechend den rtlichen und rumlichen Gegebenheiten und dem Schutzbedarf die Bedingungen fr das Sammeln, Lagern, Transportieren und Vernichten der Datentrger festzulegen. Wird ein Transport der Datentrger durchgefhrt, sind die Datentrger gegen unbefugten Zugriff zu sichern. ber den

31、 Einsatz von sicheren Behltern und Fahrzeugen hinaus sind je nach Schutzbedarf besondere Anforderungen bei Umladung und Lagerung zu bercksichtigen. (siehe Abschnitt 4) DIN SPEC 66399-3:2013-02 7 3.5 Kontrolle und Prfung 3.5.1 Anforderungen an die verantwortliche Stelle Die verantwortliche Stelle mus

32、s den gesamten Vernichtungsprozess so gestalten und prfen, dass eine ordnungsgeme Vernichtung unter Bercksichtigung der gesetzlichen sowie der betrieblichen Anforderungen sichergestellt ist. Die verantwortliche Stelle muss sich vor Auftragsvergabe von der Prozesssicherheit des Dienstleisters berzeug

33、en und diese regelmig berprfen. 3.5.2 Prozesssicherheit Der Prozessablauf und die Prozessabschnitte im Aufgabenbereich des Dienstleisters sind vom Dienstleister schriftlich zu formulieren. Die Dokumentation des Prozessablaufs ist der verantwortlichen Stelle zur Verfgung zu stellen. In einem Audit si

34、nd der Prozessablauf und die Prozessabschnitte gegen die Vorgaben dieser Norm und ggf. zustzlicher Vereinbarungen zu prfen und zu besttigen. 3.5.3 Anforderungen an Zertifikate von Dienstleistern Die entsprechenden Audits zur Erlangung oder Verlngerung von Zertifikaten sind, vorzugsweise durch ein ak

35、kreditiertes Unternehmen, beim Dienstleister vor Ort durchzufhren und das Ergebnis ist schriftlich zu dokumentieren. Zertifikate von Dienstleistern sind zeitlich auf 3 Jahre zu begrenzen. DIN SPEC 66399-3:2013-02 8 4 Prozesskriterien 4.1 Allgemeines In den nachfolgenden Tabellen werden Kriterien fr

36、die drei Varianten benannt. In speziellen Szenarien kann es sinnvoll sein, Kriterien aus mehreren Varianten in Kombination anzuwenden. Darber hinaus drfen zwischen verantwortlicher Stelle und Dienstleister zustzliche Kriterien vereinbart werden. 4.2 Kriterien fr alle Varianten der Datentrgervernicht

37、ung Tabelle 1 benennt Kriterien, die bergreifend fr alle Varianten der Datentrgervernichtung anzuwenden sind. Tabelle 1 Allgemeine Prozesskriterien Bereich Kriterium Erfllung des Kriteriums fr die Schutzklasse 1 2 3 Organisation Festlegung der Sicherheitsstufen in Abhngigkeit des Schutzbedarfs nach

38、DIN 66399-1 erforderlich erforderlich erforderlich Der Dienstleister / die verantwortliche Stelle muss die ordnungsgeme Vernichtung durch regelmige Probennahme kontrollieren. mglich erforderlich erforderlich Vernichtung Einsatz von Maschinen zur Vernichtung von Datentrgern nach DIN 66399-2 erforderl

39、ich erforderlich erforderlich DIN SPEC 66399-3:2013-02 9 4.3 Kriterien fr Variante 1 Die fr Variante 1, Datentrgervernichtung durch die verantwortliche Stelle direkt, einzuhaltenden Kriterien werden in nachfolgender Tabelle 2 aufgefhrt. Tabelle 2 Kriterien fr Variante 1 Bereich Kriterium Erfllung de

40、s Kriteriums fr die Schutzklasse 1 2 3 Organisation Es sind technische und organisatorische Manahmen fr den Vernichtungsprozess (Anfallstelle, Sammlung, Lagerung und Vernichtung) zu definieren. erforderlich erforderlich erforderlich Vernichtung Ein Nachweis ist zu erbringen, dass geeignete Maschinen

41、 fr die zu vernichtenden Datentrgerkategorien verwendet werden. erforderlich erforderlich erforderlich Hinweis: Es wird empfohlen, Personen mit Aufgaben im Vernichtungsprozess auf den Schutzbedarf der Datentrger hinzuweisen und ggf. auf das Datengeheimnis zu verpflichten. DIN SPEC 66399-3:2013-02 10

42、 4.4 Kriterien fr Variante 2 Die Kriterien fr die Variante 2, Datentrgervernichtung vor Ort durch Dienstleister, sind in Tabelle 3 festgelegt. Tabelle 3 Kriterien fr Variante 2 Bereich Kriterium Erfllung des Kriteriums fr die Schutzklasse 1 2 3 Personal Alle Mitarbeiter des Dienstleisters, die am Pr

43、ozess beteiligt sind, wurden auf das Datengeheimnis verpflichtet. erforderlich erforderlich erforderlich Organisation (verantw. Stelle) Es sind technische und organisatorische Manahmen fr den Vernichtungsprozess (Anfallstelle, Sammlung, Lagerung, Transport, Vernichtung) definiert. Die verantwortlich

44、e Stelle legt fest, welche Prozessabschnitte und Aufgaben der Dienstleister im Vernichtungsprozess bernimmt. erforderlich erforderlich erforderlich Organisation (Dienstleister) Es sind technische und organisatorische Manahmen (bezogen auf die Umgebung) fr die Vernichtungseinrichtung definiert. erfor

45、derlich erforderlich erforderlich Ein Nachweis ist zu erbringen, dass geeignete Maschinen fr die zu vernichtenden Datentrgerkategorien verwendet werden. erforderlich erforderlich erforderlich Der Dienstleister gestattet der verantwortlichen Stelle die berwachung der Vernichtung der Datentrger. mglic

46、h mglich erforderlich Redundanz und Verfgbarkeit der Vernichtungseinrichtung mssen ber ein Notfallkonzept sichergestellt sein. mglich erforderlich erforderlich DIN SPEC 66399-3:2013-02 11 Tabelle 3 (fortgesetzt) Bereich Kriterium Erfllung des Kriteriums fr die Schutzklasse 1 2 3 Sammeln/Lagern/ Tran

47、sport Fr die Sammlung, Lagerung und Transport von Datentrgern sind dem Schutzbedarf angemessene geschlossene und verschlossene Sicherheitsbehlter einzusetzen. mglich erforderlich erforderlich Transport Zum Transport sind Fahrzeuge mit geschlossenem und verschlossenem festem Aufbau zu verwenden. mgli

48、ch erforderlich erforderlich Vernichtung Das Bedienpersonal darf grundstzlich keinen Zugriff auf zu vernichtende Datentrger mit Informationsdarstellung in Originalgre (DIN66399-2 Kategorie P) haben. Der Maschine zur Vernichtung der Datentrger wird der Inhalt der eingesetzten Sicherheitsbehlter entwe

49、der direkt oder ber eine entsprechend gesicherte Zufhreinrichtung zugefhrt. mglich mglich erforderlich Videoberwachung des Schttvorgangs bzw. der Einfllffnung oder Zufhrbandes der Maschine. mglich mglich erforderlich Die verantwortliche Stelle kann sich eine Probe seiner vernichteten Datentrger nehmen oder aush

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1