ISO/IEC 27001:2022 on kansainvälinen standardi tietoturvallisuuden hallintaan. Uusin versio korostaa entistä vahvemmin tiedon elinkaaren hallintaa, mikä tekee tietojen turvallisesta ja todennettavasta poistamisesta keskeisen osan sekä tietoturvaa että IT kierrätystä.
Organisaatioille, jotka hallinnoivat käytöstä poistuvia IT laitteita, tämä tarkoittaa yhtä asiaa: data on poistettava turvallisesti ennen uudelleenkäyttöä, jatkomyyntiä tai kierrätystä.
ISO 27001:2022 ja uusi vaatimus tiedon poistamisesta
Vuoden 2022 päivityksessä ISO 27001 standardiin lisättiin uusi kontrolli A8.10 Information deletion:
Kyseinen kohta edellyttää, että tiedot poistetaan, kun niitä ei enää tarvita riippumatta siitä, sijaitsevatko ne päätelaitteissa, palvelimilla tai muilla tallennusmedioilla. Poiston on oltava turvallinen, pysyvä ja todennettavissa auditointia varten.
Pelkkä tiedostojen poistaminen, alustaminen tai tehdasasetusten palautus ei täytä vaatimuksia.
Todennettava datan poisto on IT:n uudelleenkäytön perusta
ISO 27001 nostaa esiin useita kohtia, jotka liittyvät suoraan IT laitteiden elinkaaren loppuvaiheeseen:
• 7.14: Laitteiden turvallinen hävittäminen tai uudelleenkäyttö
Kaikki laitteet on puhdistettava tiedoista ennen uudelleenkäyttöä tai hävitystä.
• 7.10: Tallennusmediat
Tallennusmedioita on hallittava koko niiden elinkaaren ajan, mukaan lukien tietojen turvallinen poisto.
• 5.34: Yksityisyys ja henkilötietojen suoja
GDPR ja muu lainsäädäntö edellyttävät henkilötietojen asianmukaista poistamista.
Näiden vaatimusten täyttäminen edellyttää sertifioituja menetelmiä ja dokumentoitua raportointia.
Todennettavuus ja auditointivalmius
ISO 27001 auditoinneissa keskeisessä roolissa on Statement of Applicability (SoA), jossa organisaatio osoittaa, miten hallintakeinot on toteutettu.
Tietojen poistamisen osalta tämä tarkoittaa:
• selkeitä prosesseja
• riskienhallintaa
• todisteita onnistuneesta datan poistosta
Auditointikelpoinen raportointi on olennainen osa vaatimustenmukaisuutta. Poistoprosessin auditointitilanne voisi näyttää esimerkiksi tältä:
Yritys todentaa prosessin:
Ticket #INC-4821
• käyttäjän läppäri palautettu
• hyväksytty poistoon
Wipe report
• Blancco erase completed
• NIST 800-88 compliant
• serial number matched
Asset register
• laitteen status → disposed
Intune log
• device retired
• corporate data removed
Sisäinen datan poisto vai ITAD kumppani?
ISO 27001 ei määrittele, toteutetaanko tietojen poisto itse vai ulkoisen kumppanin avulla. Molemmat mallit ovat hyväksyttäviä, kunhan prosessi on turvallinen ja auditoitavissa.
Inregon käsittelyprosessi on ISO-sertifioitu ja helposti todennettavissa auditointia varten, joka tekee palveun käytöstä huioletonta kaiken kokoisille organisaatioille.
ISO 27001:2022 tekee selväksi, että turvallinen datan poisto on olennainen osa modernia IT kierrätystä ja ITAD toimintaa. Kun tiedot poistetaan oikein, organisaatio yhdistää tietoturvan, vaatimustenmukaisuuden, taloudellisuuden ja vastuullisuuden.
Turvallinen datan poisto on aina uudelleenkäytön edellytys.
Lähde: How Blancco Helps Organizations Comply with ISO 27001 Data Destruction Controls