Zweck der Kontrolle 8.10
Neben der Verwaltung der laufenden Nutzung von Daten und Informationen auf internen Servern und Speichergeräten (HDDs, Arrays, USB-Laufwerke usw.) müssen sich Unternehmen auch ihrer Pflichten zur Entfernung und Löschung aller über Mitarbeiter, Benutzer und Kunden gespeicherten Daten bewusst sein oder Organisationen, wenn dies vernünftigerweise erforderlich ist (normalerweise, wenn es nicht mehr benötigt wird).
Attributtabelle der Steuerung 8.10
Kontrolle 8.10 ist ein vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und verändert das Risiko indem Sie einen Ansatz zur Datenlöschung skizzieren, der die bestehenden Richtlinien zur Datenaufbewahrung einer Organisation ergänzt und dafür sorgt, dass sie mit allen geltenden Gesetzen oder behördlichen Richtlinien vereinbar sind.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Informationsschutz | #Schutz |
| #Recht und Compliance |
Eigentum an der Kontrolle 8.10
Control 8.10 befasst sich hauptsächlich mit Wartungsaufgaben im Zusammenhang mit der Löschung und Zerstörung von Daten und/oder IT-Ressourcen, einschließlich der Verwendung spezieller Software und der Zusammenarbeit mit Anbietern, die auf die Löschung von Daten und Geräten spezialisiert sind. Daher sollte die Verantwortung beim IT-Leiter oder einer gleichwertigen Organisation liegen.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Allgemeine Richtlinien zur Compliance
Es kann manchmal schwierig sein festzustellen, wann Daten gelöscht werden sollten. Als allgemeine Regel fordert Control 8.10 Organisationen dazu auf, Daten zu löschen, wenn sie nicht mehr benötigt werden, um die sogenannten Datenverluste zu minimieren unerwünschte Offenlegung – also die Einsichtnahme oder Weitergabe der Daten an Personen und Organisationen, die nicht zum Zugriff darauf berechtigt sind.
Gemäß dieser Richtlinie sollten Unternehmen beim Zeitpunkt der Datenlöschung Folgendes tun:
- Entscheiden Sie sich für eine geeignete Löschmethode, die allen geltenden Gesetzen und Vorschriften entspricht. Zu den Techniken gehören Standardlöschung, Überschreiben oder verschlüsseltes Löschen.
- Protokollieren Sie die Ergebnisse des Löschvorgangs zur späteren Bezugnahme.
- Stellen Sie sicher, dass die Organisation bei der Nutzung eines spezialisierten Löschanbieters einen ausreichenden Nachweis (in der Regel durch Dokumentation) erhält, dass die Löschung durchgeführt wurde.
- Wenn ein Drittanbieter eingesetzt wird, sollten Organisationen deren genaue Anforderungen, einschließlich Löschmethoden und Zeitpläne, festlegen und sicherstellen, dass die Löschaktivitäten durch eine verbindliche Vereinbarung abgedeckt sind.
Leitfaden – Spezifische Löschmethoden
Bei der Formulierung eines Löschvorgangs sollten Organisationen Folgendes tun:
- Konfigurieren Sie interne Systeme zum Löschen von Daten und Informationen gemäß der themenspezifischen Aufbewahrungsrichtlinie der Organisation.
- Stellen Sie sicher, dass sich die Löschung auf temporäre Dateien, zwischengespeicherte Informationen, Datenkopien und ältere Versionen erstreckt.
- Erwägen Sie die Verwendung spezieller Hilfsprogramme zum Löschen, um das Risiko zu minimieren.
- Beauftragen Sie zertifizierte und nachweisbare Löschspezialisten nur dann, wenn die Notwendigkeit besteht, einen Drittanbieter-Dienst in Anspruch zu nehmen.
- Implementieren Sie physische Löschmaßnahmen, die für das betreffende Gerät geeignet sind (z. B Entmagnetisierung magnetische Speichermedien, Wiederherstellen der Werkseinstellungen eines Smartphones oder physische Zerstörung) (siehe Steuerung 7.14).
- Stellen Sie sicher, dass Cloud-Dienstanbieter sich an die eigenen Löschanforderungen der Organisation halten (soweit möglich).
Ergänzende Informationen zur Steuerung 8.10
Beim Versand von Geräten (insbesondere Servern und Workstations) an Anbieter sollten Unternehmen vorher alle internen oder externen Speichergeräte entfernen.
Unterstützende Richtlinien
- 7.14
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
Keiner. Control 8.10 hat in ISO 27002:2013 keinen Präzedenzfall, da es neu ist.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.online hilft
Die ISMS.online-Plattform bietet eine Reihe leistungsstarker Tools, die Ihnen die Dokumentation, Implementierung, Wartung und Verbesserung Ihres Informationssicherheits-Managementsystems (ISMS) sowie die Einhaltung von ISO 27002 erleichtern.
Das umfassende Paket an Tools bietet Ihnen einen zentralen Ort, an dem Sie maßgeschneiderte Richtlinien und Verfahren erstellen können, die auf die spezifischen Risiken und Bedürfnisse Ihres Unternehmens abgestimmt sind. Es ermöglicht auch die Zusammenarbeit zwischen Kollegen sowie externen Partnern wie Lieferanten oder externen Prüfern.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
