ISO/IEC 27040:2015 i l'esborrat de dades

Requeriments clau de la norma

Definició i abast: Aquest aspecte cobreix la necessitat d’una gestió efectiva de la seguretat de l’emmagatzematge, incloent-hi la identificació dels actius d'emmagatzematge i la classificació de les dades. S’emfatitza la importància de protegir les dades en repòs, trànsit i durant els processos d’eliminació.
Implementació: Les organitzacions han de desenvolupar i implementar polítiques i procediments que assegurin la protecció de la informació emmagatzemada, des del xifratge de dades fins al control d’accés físic i lògic.

Definició i abast: La ISO/IEC 27040:2015 especifica els requeriments per a la sanitització de la informació, assegurant que les dades siguin esborrades de manera que no puguin ser recuperades o reconstruïdes.
Implementació: S’han d’establir mètodes d’esborrament segur i destrucció d’actius que compleixin amb els estàndards internacionals de sanitització, garantint que la informació sensible sigui irrecuperable una vegada que se’n decideixi l’eliminació.

La norma requereix realitzar auditories regulars i avaluacions de seguretat per verificar la implementació efectiva de les polítiques i els controls de seguretat de l'emmagatzematge.
Aquestes revisions s'han de documentar adequadament i han de proporcionar registres que demostrin el compliment dels procediments de seguretat de l'emmagatzematge i l'efectivitat de les mesures de sanitització de dades.

La documentació i els registres d'auditoria serveixen com a evidència clau durant les avaluacions de compliment i de certificació. Això inclou evidència del maneig correcte i esborrat segur de la informació emmagatzemada, així com de la implementació de controls d'accés i xifratge.
Mantenir una documentació detallada i actualitzada és fonamental per demostrar el compliment amb ISO/IEC 27040:2015 i per donar suport a la millora contínua de les pràctiques de seguretat de l'emmagatzematge.