欢迎来到麦多课文档分享! | 帮助中心 海量文档,免费浏览,给你所需,享你所想!
麦多课文档分享
全部分类
  • 标准规范>
  • 教学课件>
  • 考试资料>
  • 办公文档>
  • 学术论文>
  • 行业资料>
  • 易语言源码>
  • ImageVerifierCode 换一换
    首页 麦多课文档分享 > 资源分类 > PDF文档下载
    分享到微信 分享到微博 分享到QQ空间

    DIN SPEC 66399-3-2013 Office machines - Destruction of data carriers - Part 3 Process for destruction of data carriers《办公机械 数据载体的摧毁 第1部分 数据载体的摧毁过程》.pdf

    • 资源ID:685437       资源大小:317.17KB        全文页数:16页
    • 资源格式: PDF        下载积分:10000积分
    快捷下载 游客一键下载
    账号登录下载
    微信登录下载
    二维码
    微信扫一扫登录
    下载资源需要10000积分(如需开发票,请勿充值!)
    邮箱/手机:
    温馨提示:
    如需开发票,请勿充值!快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如需开发票,请勿充值!如填写123,账号就是123,密码也是123。
    支付方式: 支付宝扫码支付    微信扫码支付   
    验证码:   换一换

    加入VIP,交流精品资源
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    DIN SPEC 66399-3-2013 Office machines - Destruction of data carriers - Part 3 Process for destruction of data carriers《办公机械 数据载体的摧毁 第1部分 数据载体的摧毁过程》.pdf

    1、Februar 2013 Normenausschuss Informationstechnik und Anwendungen (NIA) im DINPreisgruppe 10DIN Deutsches Institut fr Normung e. V. Jede Art der Vervielfltigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut fr Normung e. V., Berlin, gestattet.ICS 35.260Zur Erstellung einer DIN SP

    2、EC knnen verschiedene Verfahrensweisen herangezogen werden: Das vorliegende Dokument wurde nach den Verfahrensregeln einer Vornorm erstellt.!$V)“1935106www.din.deDDIN SPEC 66399-3Bro- und Datentechnik Vernichten von Datentrgern Teil 3: Prozess der DatentrgervernichtungOffice machines Destruction of

    3、data carriers Part 3: Process for destruction of data carriersBureautique et informatique Destruction de vhicules de donnes Partie 3: Processus de destruction de vhicules de donnesAlleinverkauf der Spezifikationen durch Beuth Verlag GmbH, 10772 Berlin www.beuth.deGesamtumfang 16 SeitenDIN SPEC 66399

    4、-3:2013-02 2 Inhalt Seite Vorwort . 3 1 Anwendungsbereich 4 2 Normative Verweisungen . 4 3 Prozessablauf 4 3.1 Allgemeines . 4 3.2 Prozessdefinition 5 3.3 Ermittlung der Risikostruktur 6 3.4 Prozessdurchfhrung 6 3.5 Kontrolle und Prfung 7 3.5.1 Anforderungen an die verantwortliche Stelle 7 3.5.2 Pro

    5、zesssicherheit . 7 3.5.3 Anforderungen an Zertifikate von Dienstleistern 7 4 Prozesskriterien 8 4.1 Allgemeines . 8 4.2 Kriterien fr alle Varianten der Datentrgervernichtung 8 4.3 Kriterien fr Variante 1 . 9 4.4 Kriterien fr Variante 2 . 10 4.5 Kriterien fr Variante 3 . 11 4.6 Kriterien Infrastruktu

    6、r Dienstleister fr Variante 3 14 4.7 bernahmeprotokoll . 16 4.8 Vernichtungsprotokoll . 16 Bilder Bild 1 Datentrgervernichtung . 5 Tabellen Tabelle 1 Allgemeine Prozesskriterien . 8 Tabelle 2 Kriterien fr Variante 1 . 9 Tabelle 3 Kriterien fr Variante 2 . 10 Tabelle 4 Kriterien fr Variante 3 . 12 Ta

    7、belle 5 Kriterien Infrastruktur Dienstleister fr Variante 3 15 DIN SPEC 66399-3:2013-02 3 Vorwort Das vorliegende Dokument (DIN SPEC 66399-3) wurde vom Arbeitsausschuss NA 043-01-51 AA Vernich-tung von Datentrgern“ im Normenausschuss Informationstechnik und Anwendungen (NIA) ausgearbeitet. Jeder, de

    8、r selbst oder im Auftrag vertrauliche, personenbezogene und/oder sensible Daten verarbeitet, hat eine datenschutzgerechte und sichere Vernichtung und Entsorgung der Datentrger sicherzustellen. Sicher vernichtet bedeutet in diesem Zusammenhang, dass die Datentrger, auf denen schutzbedrftige Informati

    9、onen dargestellt sind, so zu vernichten sind, dass die Reproduktion der auf ihnen wiedergegebenen Informationen entweder unmglich ist oder weitgehend erschwert wird (siehe DIN 66399-1 und -2). Hierbei ist nicht nur die datenschutzgerechte und sichere Vernichtung zu beachten, sondern der gesamte Proz

    10、ess von der Anfallstelle bis zur umweltfreundlichen Verwertung/Beseitigung unter Beachtung der jeweils geltenden Gesetze und Vorschriften. Eine DIN SPEC nach dem Vornorm-Verfahren ist das Ergebnis einer Normungsarbeit, das wegen bestimmter Vorbehalte zum Inhalt oder wegen des gegenber einer Norm abw

    11、eichenden Aufstellungsverfahrens vom DIN noch nicht als Norm herausgegeben wird. Erfahrungen mit dieser DIN SPEC sind erbeten vorzugsweise als Datei per E-Mail an niadin.de in Form einer Tabelle. Die Vorlage dieser Tabelle kann im Internet unter http:/www.din.de/stellungnahme abgerufen werden; oder

    12、in Papierform an den Normenausschuss Informationstechnik und Anwendungen (NIA) im DIN DIN 66399 Bro- und Datentechnik Vernichtung von Datentrgern besteht aus: Teil 1: Grundlagen und Begriffe Teil 2: Anforderungen an Maschinen zur Vernichtung von Datentrgern DIN SPEC 66399 Bro- und Datentechnik Verni

    13、chtung von Datentrgern Teil 3: Prozess der Datentrgervernichtung DIN SPEC 66399-3:2013-02 4 1 Anwendungsbereich Diese Norm gilt sowohl fr die verantwortliche Stelle, sowie alle am Vernichtungsprozess Beteiligten, und legt die Anforderungen an die jeweiligen Prozessschritte fest. 2 Normative Verweisu

    14、ngen Die folgenden zitierten Dokumente sind fr die Anwendung dieses Dokuments erforderlich. Bei datierten Verweisungen gilt nur die in Bezug genommene Ausgabe. Bei undatierten Verweisungen gilt die letzte Ausgabe des in Bezug genommenen Dokuments (einschlielich aller nderungen). DIN 66399-1, Bro- un

    15、d Datentechnik Vernichten von Datentrgern Teil 1: Grundlagen und Begriffe DIN 66399-2, Bro- und Datentechnik Vernichten von Datentrgern Teil 2: Anforderungen an Maschinen zur Vernichtung von Datentrgern 3 Prozessablauf 3.1 Allgemeines Die Vernichtung von Datentrgern ist als ein Prozess aufzufassen,

    16、der in seinen einzelnen Prozessabschnitten zu untersuchen und sicher zu gestalten ist. Die verantwortliche Stelle ist fr den gesamten Prozess (intern/extern) bis zur endgltigen Vernichtung der Datentrger verantwortlich. Der Prozess der Datentrgervernichtung endet, wenn die vereinbarte Sicherheitsstu

    17、fe erreicht ist. In der Regel luft der Prozess vom Anfall der zu vernichtenden Datentrger bis zur umweltvertrglichen Vernichtung arbeitsteilig ab. Werden Dienstleister in den Prozess einbezogen, so ist die Aufgabenabgrenzung zwischen der verantwortlichen Stelle und dem Dienstleister klar zu regeln.

    18、Aufgrund von Rechtsvorschriften sind in diesem Prozess vor allem technische und organisatorische Manahmen zu ergreifen. Die Darstellung in Bild 1 zeigt die in der Norm behandelten Prozessvarianten mit den jeweils zugehrigen Prozessabschnitten. DIN SPEC 66399-3:2013-02 5 Bild 1 Datentrgervernichtung

    19、3.2 Prozessdefinition Die im Rahmen einer Risikoanalyse aufgezeigten technischen und organisatorischen Manahmen zur sicheren und datenschutzgerechten Vernichtung von Datentrgern mssen unter Bercksichtigung des Standes der Technik den Schutzbedarf sicherstellen, der den vom Vernichtungsprozess ausgeh

    20、enden Risiken und der Art der zu schtzenden Daten angemessen ist. Um Daten vor Missbrauch zu schtzen, bedarf es eines Sicherheits- und Kontrollsystems, das eine zuverlssige Qualitt des Vernichtungsprozesses vor Ort bei der verantwortlichen Stelle oder extern beim Dienstleister sicherstellt. Schutzzw

    21、eck im Vernichtungsprozess ist die Verhinderung von Datenmissbrauch. Um dem Wirtschaftlichkeits- bzw. Angemessenheitsprinzip Rechnung zu tragen, sollten die zu vernichtenden Datentrger in Schutzklassen (siehe DIN 66399-1, Schutzklasse 1 bis 3) eingeteilt werden. Fallen Datentrger unterschiedlicher S

    22、icherheitsstufen an der Anfallstelle an, so ist aus kologischen und konomischen Grnden die Trennung in verschiedene Sicherheitsstufen an der Anfallstelle empfohlen. DIN SPEC 66399-3:2013-02 6 3.3 Ermittlung der Risikostruktur Die Kategorisierung der zu schtzenden Daten wird hinsichtlich der Sensibil

    23、itt ber die in DIN 66399-1 vorhandenen Tabellen vorgenommen. Grundstzlich sollte eine Beeintrchtigung der unmittelbaren Funktionsfhigkeit von Datentrgern in den frhen Prozessabschnitten des Vernichtungsprozesses (Anfall und Sammlung) erfolgen. Bei elektronischen und magnetischen Datentrgern wird vor

    24、 dem Vernichten das Lschen oder berschreiben empfohlen. So wird die Attraktivitt der Datentrger in Bezug auf Entwendung geschmlert und fr die nachfolgenden Prozessschritte eine Basissicherheit erreicht. Nach Abwgung des Schutzbedarfs kann dann bei der Vernichtung eine geringere Sicherheitsstufe gewh

    25、lt werden. Wenn eine Beeintrchtigung der unmittelbaren Funktionsfhigkeit bzw. Lschen/berschreiben nicht mglich ist, muss die notwendige Sicherheitsstufe in der gewhlten Schutzklasse angewendet werden. Bei Anwendung einer Prozessvariante ist im Vorfeld zu berprfen, ob die technischen und organisatori

    26、schen Anforderungen der entsprechenden Schutzklasse und Sicherheitsstufe erfllt werden. Die verantwortliche Stelle definiert den Schutzbedarf und die Schutzklasse. Insoweit sind folgende Fragen zu beantworten: Welche Informationen sind schutzwrdig und in welche Schutzklasse einzuordnen? Was? Vernich

    27、tung in welcher Sicherheitsstufe? Wie? Vernichtung durch die verantwortlich Stelle direkt oder Vernichtung durch Dienstleister? Wer? Vernichtung vor Ort durch Dienstleister oder extern durch Dienstleister? Wo? Technische und organisatorische Manahmen am Anfallort, beim Transport und beim Dienstleist

    28、er? Wie? Daraus resultiert die operative Abwicklung (Sicherheitskonzept). 3.4 Prozessdurchfhrung Voraussetzung fr eine ordnungsgeme Durchfhrung des Prozesses ist eine detaillierte Organisation, in der der Ablauf dokumentiert, die Zustndigkeiten festgelegt, die gesetzlichen und betrieblichen Rahmen-b

    29、edingungen spezifiziert und die Anforderungen an das im Prozess eingesetzte Personal vorgegeben sind. Der Prozess ist so zu gestalten, dass nach der Entscheidung der verantwortlichen Stelle den Datentrger zu vernichten, unter Bercksichtigung des Schutzbedarfes, keine Unbefugten Kenntnis der Daten er

    30、halten. Es sind entsprechend den rtlichen und rumlichen Gegebenheiten und dem Schutzbedarf die Bedingungen fr das Sammeln, Lagern, Transportieren und Vernichten der Datentrger festzulegen. Wird ein Transport der Datentrger durchgefhrt, sind die Datentrger gegen unbefugten Zugriff zu sichern. ber den

    31、 Einsatz von sicheren Behltern und Fahrzeugen hinaus sind je nach Schutzbedarf besondere Anforderungen bei Umladung und Lagerung zu bercksichtigen. (siehe Abschnitt 4) DIN SPEC 66399-3:2013-02 7 3.5 Kontrolle und Prfung 3.5.1 Anforderungen an die verantwortliche Stelle Die verantwortliche Stelle mus

    32、s den gesamten Vernichtungsprozess so gestalten und prfen, dass eine ordnungsgeme Vernichtung unter Bercksichtigung der gesetzlichen sowie der betrieblichen Anforderungen sichergestellt ist. Die verantwortliche Stelle muss sich vor Auftragsvergabe von der Prozesssicherheit des Dienstleisters berzeug

    33、en und diese regelmig berprfen. 3.5.2 Prozesssicherheit Der Prozessablauf und die Prozessabschnitte im Aufgabenbereich des Dienstleisters sind vom Dienstleister schriftlich zu formulieren. Die Dokumentation des Prozessablaufs ist der verantwortlichen Stelle zur Verfgung zu stellen. In einem Audit si

    34、nd der Prozessablauf und die Prozessabschnitte gegen die Vorgaben dieser Norm und ggf. zustzlicher Vereinbarungen zu prfen und zu besttigen. 3.5.3 Anforderungen an Zertifikate von Dienstleistern Die entsprechenden Audits zur Erlangung oder Verlngerung von Zertifikaten sind, vorzugsweise durch ein ak

    35、kreditiertes Unternehmen, beim Dienstleister vor Ort durchzufhren und das Ergebnis ist schriftlich zu dokumentieren. Zertifikate von Dienstleistern sind zeitlich auf 3 Jahre zu begrenzen. DIN SPEC 66399-3:2013-02 8 4 Prozesskriterien 4.1 Allgemeines In den nachfolgenden Tabellen werden Kriterien fr

    36、die drei Varianten benannt. In speziellen Szenarien kann es sinnvoll sein, Kriterien aus mehreren Varianten in Kombination anzuwenden. Darber hinaus drfen zwischen verantwortlicher Stelle und Dienstleister zustzliche Kriterien vereinbart werden. 4.2 Kriterien fr alle Varianten der Datentrgervernicht

    37、ung Tabelle 1 benennt Kriterien, die bergreifend fr alle Varianten der Datentrgervernichtung anzuwenden sind. Tabelle 1 Allgemeine Prozesskriterien Bereich Kriterium Erfllung des Kriteriums fr die Schutzklasse 1 2 3 Organisation Festlegung der Sicherheitsstufen in Abhngigkeit des Schutzbedarfs nach

    38、DIN 66399-1 erforderlich erforderlich erforderlich Der Dienstleister / die verantwortliche Stelle muss die ordnungsgeme Vernichtung durch regelmige Probennahme kontrollieren. mglich erforderlich erforderlich Vernichtung Einsatz von Maschinen zur Vernichtung von Datentrgern nach DIN 66399-2 erforderl

    39、ich erforderlich erforderlich DIN SPEC 66399-3:2013-02 9 4.3 Kriterien fr Variante 1 Die fr Variante 1, Datentrgervernichtung durch die verantwortliche Stelle direkt, einzuhaltenden Kriterien werden in nachfolgender Tabelle 2 aufgefhrt. Tabelle 2 Kriterien fr Variante 1 Bereich Kriterium Erfllung de

    40、s Kriteriums fr die Schutzklasse 1 2 3 Organisation Es sind technische und organisatorische Manahmen fr den Vernichtungsprozess (Anfallstelle, Sammlung, Lagerung und Vernichtung) zu definieren. erforderlich erforderlich erforderlich Vernichtung Ein Nachweis ist zu erbringen, dass geeignete Maschinen

    41、 fr die zu vernichtenden Datentrgerkategorien verwendet werden. erforderlich erforderlich erforderlich Hinweis: Es wird empfohlen, Personen mit Aufgaben im Vernichtungsprozess auf den Schutzbedarf der Datentrger hinzuweisen und ggf. auf das Datengeheimnis zu verpflichten. DIN SPEC 66399-3:2013-02 10

    42、 4.4 Kriterien fr Variante 2 Die Kriterien fr die Variante 2, Datentrgervernichtung vor Ort durch Dienstleister, sind in Tabelle 3 festgelegt. Tabelle 3 Kriterien fr Variante 2 Bereich Kriterium Erfllung des Kriteriums fr die Schutzklasse 1 2 3 Personal Alle Mitarbeiter des Dienstleisters, die am Pr

    43、ozess beteiligt sind, wurden auf das Datengeheimnis verpflichtet. erforderlich erforderlich erforderlich Organisation (verantw. Stelle) Es sind technische und organisatorische Manahmen fr den Vernichtungsprozess (Anfallstelle, Sammlung, Lagerung, Transport, Vernichtung) definiert. Die verantwortlich

    44、e Stelle legt fest, welche Prozessabschnitte und Aufgaben der Dienstleister im Vernichtungsprozess bernimmt. erforderlich erforderlich erforderlich Organisation (Dienstleister) Es sind technische und organisatorische Manahmen (bezogen auf die Umgebung) fr die Vernichtungseinrichtung definiert. erfor

    45、derlich erforderlich erforderlich Ein Nachweis ist zu erbringen, dass geeignete Maschinen fr die zu vernichtenden Datentrgerkategorien verwendet werden. erforderlich erforderlich erforderlich Der Dienstleister gestattet der verantwortlichen Stelle die berwachung der Vernichtung der Datentrger. mglic

    46、h mglich erforderlich Redundanz und Verfgbarkeit der Vernichtungseinrichtung mssen ber ein Notfallkonzept sichergestellt sein. mglich erforderlich erforderlich DIN SPEC 66399-3:2013-02 11 Tabelle 3 (fortgesetzt) Bereich Kriterium Erfllung des Kriteriums fr die Schutzklasse 1 2 3 Sammeln/Lagern/ Tran

    47、sport Fr die Sammlung, Lagerung und Transport von Datentrgern sind dem Schutzbedarf angemessene geschlossene und verschlossene Sicherheitsbehlter einzusetzen. mglich erforderlich erforderlich Transport Zum Transport sind Fahrzeuge mit geschlossenem und verschlossenem festem Aufbau zu verwenden. mgli

    48、ch erforderlich erforderlich Vernichtung Das Bedienpersonal darf grundstzlich keinen Zugriff auf zu vernichtende Datentrger mit Informationsdarstellung in Originalgre (DIN66399-2 Kategorie P) haben. Der Maschine zur Vernichtung der Datentrger wird der Inhalt der eingesetzten Sicherheitsbehlter entwe

    49、der direkt oder ber eine entsprechend gesicherte Zufhreinrichtung zugefhrt. mglich mglich erforderlich Videoberwachung des Schttvorgangs bzw. der Einfllffnung oder Zufhrbandes der Maschine. mglich mglich erforderlich Die verantwortliche Stelle kann sich eine Probe seiner vernichteten Datentrger nehmen oder aush


    注意事项

    本文(DIN SPEC 66399-3-2013 Office machines - Destruction of data carriers - Part 3 Process for destruction of data carriers《办公机械 数据载体的摧毁 第1部分 数据载体的摧毁过程》.pdf)为本站会员(赵齐羽)主动上传,麦多课文档分享仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知麦多课文档分享(点击联系客服),我们立即给予删除!




    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
    备案/许可证编号:苏ICP备17064731号-1 

    收起
    展开