ISO 27701 Clausule 6.5.3: Best practices voor mediabeveiliging
ICT-media – verwijderbaar of statisch – die worden gebruikt om PII op te slaan en te verwerken, worden vaak gezien als het voornaamste pijnpunt voor organisaties die aan de goede kant willen blijven van hun wettelijke, regelgevende en contractuele verplichtingen.
De moeilijkheden bij het beheren van verwijderbare media – en de PII die erop staan – groeien exponentieel met de omvang van de organisatie en het aantal werknemers dat dergelijke apparaten mag gebruiken.
Naast het operationele gebruik ervan moeten opslagmedia op adequate wijze uit het netwerk worden verwijderd en worden weggegooid wanneer ze niet langer nodig zijn, en moeten organisaties ervoor zorgen dat er geen sporen achterblijven van PII of privacygerelateerde informatie voorafgaand aan hergebruik.
Wat wordt er behandeld in ISO 27701, clausule 6.5.3
Elke clausule binnen ISO 27701 behandelt het concept van PII, binnen de context van opslagmedia:
- ISO 27701 6.5.3.1 – Beheer van verwijderbare media (Referenties ISO 27002 controle 7.10)
- ISO 27701 6.5.3.2 – Verwijdering van media (referenties ISO 27002 controle 7.10)
- ISO 27701 6.5.3.3 – Fysieke mediaoverdracht (referenties ISO 27002-controle 7.10)
ISO 27701 Clausule 6.5.3 is een samensmelting van drie eerdere ISO 27002-clausules, die nu zijn samengevoegd in één enkele clausule in de iteratie van 2022: ISO 27002 7.10 (opslagmedia).
Elk besturingselement bevat aanvullende PII-gerelateerde richtlijnen die de benadering van een organisatie ten aanzien van opslagmedia bepalen.
Bovendien bevat elke subclausule verschillende richtlijnen die betrekking hebben op specifieke artikelen binnen de Britse AVG-wetgeving.
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.5.3.1 – Beheer van verwijderbare media
Referenties ISO 27002 Controle 7.10
Verwisselbare opslagmedia
Bij het ontwikkelen van beleid dat de omgang regelt met media-items die betrokken zijn bij het opslaan van PII, moeten organisaties:
- Ontwikkel uniek onderwerpspecifiek beleid op basis van afdelings- of functiegerelateerde vereisten.
- Zorg ervoor dat de juiste autorisatie wordt aangevraagd en verleend voordat personeel opslagmedia uit het netwerk kan verwijderen (inclusief het bijhouden van een nauwkeurige en actuele registratie van dergelijke activiteiten).
- Bewaar media in overeenstemming met de specificaties van de fabrikant, vrij van omgevingsschade.
- Overweeg het gebruik van encryptie als voorwaarde voor toegang, of, waar dit niet mogelijk is, het implementeren van aanvullende fysieke beveiligingsmaatregelen.
- Minimaliseer het risico dat PII beschadigd raakt door, indien nodig, informatie tussen opslagmedia over te dragen.
- Introduceer PII-redundantie door beschermde informatie tegelijkertijd op meerdere assets op te slaan.
- Sta het gebruik van opslagmedia op goedgekeurde ingangen (dwz SD-kaarten en USB-poorten) alleen per asset toe.
- Houd nauwlettend toezicht op de overdracht van PII naar opslagmedia, voor welk doel dan ook.
- Houd rekening met de risico's die inherent zijn aan de fysieke overdracht van opslagmedia (en bij volmacht de PII die erop staat) bij het verplaatsen van activa tussen personeel of gebouwen (zie ISO 27002 5.14).
Hergebruik en verwijdering
Bij het hergebruiken, hergebruiken of weggooien van opslagmedia moeten robuuste procedures worden ingevoerd om ervoor te zorgen dat PII op geen enkele manier wordt beïnvloed, waaronder:
- Het formatteren van de opslagmedia en ervoor zorgen dat alle PII wordt verwijderd vóór hergebruik (zie ISO 27002 8.10), inclusief het bijhouden van adequate documentatie van al dergelijke activiteiten.
- Het veilig verwijderen van alle media die de organisatie niet meer kan gebruiken en die zijn gebruikt om PII op te slaan.
- Als de verwijdering de betrokkenheid van een derde partij vereist, moeten organisaties er goed op letten dat zij een geschikte partner zijn om dergelijke taken uit te voeren, in overeenstemming met de verantwoordelijkheid van de organisatie ten aanzien van PII en privacybescherming.
- Implementatie van procedures die identificeren welke opslagmedia beschikbaar zijn voor hergebruik, of dienovereenkomstig kunnen worden weggegooid.
Als apparaten die zijn gebruikt om PII op te slaan beschadigd raken, moet de organisatie zorgvuldig overwegen of het al dan niet passender is om dergelijke media te vernietigen of ter reparatie op te sturen (dwalen aan de kant van het eerste).
Aanvullende PII-gerelateerde richtlijnen
ISO waarschuwt organisaties voor het gebruik van niet-gecodeerde opslagapparaten voor PII-gerelateerde activiteiten.
Relevante ISO 27002-controles
- ISO 27002-controle 5.14
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
- Artikel 32 – (1)(a)
ISO 27701 Clausule 6.5.3.2 – Verwijdering van media
Referenties ISO 27002 Controle 7.10
Zie ISO 27701 clausule 6.5.3.1.
Aanvullende PII-gerelateerde richtlijnen
Als media de eerder bewaarde PII willen verwijderen, moeten organisaties procedures implementeren die de vernietiging van PII en privacygerelateerde gegevens documenteren, inclusief categorische garanties dat deze niet langer beschikbaar zijn.
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.5.3.3 – Fysieke mediaoverdracht
Referenties ISO 27002 Controle 7.10
Zie ISO 27701 clausule 6.5.3.1.
Aanvullende PII-gerelateerde richtlijnen
Organisaties moeten extra voorzichtig zijn bij het transporteren van opslagmedia die PII bevatten, in tegenstelling tot standaardgegevenscategorieën.
Er moeten gegevens worden bijgehouden van alle inkomende en uitgaande media die PII bevatten, waaronder:
- Mediatype (HDD, USB, SD-kaart enz.).
- Geautoriseerde afzenders en interne ontvangers.
- Datum en tijd van overdracht.
- De hoeveelheid fysieke media die moet worden overgedragen.
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
- Artikel 32 – (1)(a)
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.5.3.1 | Beheer van verwisselbare media | 7.10 – Opslagmedia voor ISO 27002 | Artikelen (5), (32) |
| 6.5.3.2 | Verwijdering van media | 7.10 – Opslagmedia voor ISO 27002 | Artikel (5) |
| 6.5.3.3 | Fysieke mediaoverdracht | 7.10 – Opslagmedia voor ISO 27002 | Artikelen (5), (32) |
Hoe ISMS.online helpt
ISMS.online maakt het beheer van persoonlijke informatie eenvoudig via een geweldige cloudgebaseerde oplossing ter ondersteuning van ISO 27701-compliance in uw organisatie.
Bovendien hebben we informatiebeveiligingsexperts en middelen beschikbaar om u door het ISO 27701-accreditatieproces te begeleiden.
Lees meer en krijg een praktische demonstratie door een demo boeken.
