ISO/IEC 27040:2015 i l'esborrament de dades
La norma ISO/IEC 27040:2015 proporciona un marc detallat sobre les tècniques de seguretat aplicables a l'emmagatzematge d'informació. Estableix directrius i principis per implementar, mantenir i millorar la seguretat de l'emmagatzematge, i inclou la confidencialitat, la integritat i la disponibilitat de les dades emmagatzemades.
Requeriments Clau de la Norma
Gestió de la Seguretat de l'Emmagatzematge
- Definició i Abast: Aquest aspecte cobreix la necessitat d'una gestió efectiva de la seguretat de l'emmagatzematge, incloent-hi la identificació dels actius d'emmagatzematge i la classificació de les dades. S'emfatitza la importància de protegir les dades en repòs, en trànsit i durant els processos d'eliminació.
- Implementació: Les organitzacions han de desenvolupar i implementar polítiques i procediments que assegurin la protecció de la informació emmagatzemada, des del xifratge de dades fins al control d'accés físic i lògic.
Sanitització de la Informació i Esborrament Segur
- Definició i Abast: La ISO/IEC 27040:2015 especifica els requeriments per a la sanitització de la informació, assegurant que les dades siguin esborrades de manera que no puguin ser recuperades o reconstruïdes.
- Implementació: S'han d'establir mètodes d'esborrament segur i destrucció de mitjans que compleixin amb els estàndards internacionals de sanitització, garantint que la informació sensible sigui irrecuperable un cop es decideixi la seva eliminació.
Verificació, Documentació i Compliment
Auditories i Avaluacions de Seguretat
- La norma requereix realitzar auditories regulars i avaluacions de seguretat per verificar la implementació efectiva de les polítiques i controls de seguretat de l'emmagatzematge.
- Aquestes revisions s'han de documentar adequadament, proporcionant registres que demostrin el compliment dels procediments de seguretat de l'emmagatzematge i l'efectivitat de les mesures de sanitització de dades.
Demostració de Compliment
- La documentació i els registres d'auditoria serveixen com a evidència clau durant les avaluacions de compliment i certificació. Això inclou evidència del correcte maneig i esborrament segur de la informació emmagatzemada, així com de la implementació de controls d'accés i xifratge.
- Mantenir una documentació detallada i actualitzada és fonamental per demostrar el compliment amb ISO/IEC 27040:2015 i per donar suport a la millora contínua de les pràctiques de seguretat de l'emmagatzematge.
