Mi a különbség az adattörlés és a biztonságos adatmegsemmisítés között?

Az egyszerű adattörlés — például egy fájl lomtárba helyezése — gyakran visszaállítható állapotban hagyja az adatokat az adathordozón. A biztonságos adatmegsemmisítés olyan módszereket foglal magában, mint a felülírás, a kriptográfiai törlés vagy a fizikai megsemmisítés, amelyek biztosítják az adatok végleges és visszafordíthatatlan eltávolítását. Ez az ISO/IEC 27001:2022 szabványnak és a GDPR-hoz hasonló jogszabályoknak való megfelelés egyik követelménye.

Meddig kell a szervezetemnek adatokat megőriznie?

Az adatokat csak addig szabad megőrizni, ameddig az jogszabályi, szerződéses vagy jogszerű üzleti célból szükséges. Formális adatmegőrzési szabályzatot kell kialakítani, amely meghatározza a különböző adatkategóriákra vonatkozó konkrét megőrzési időtartamokat. Az adatok „hátha még kell” alapon történő megőrzése jelentős megfelelőségi kockázatot jelent, különösen a GDPR tárolási korlátozás elvére tekintettel.

Milyen bizonyítékokat keresnek az auditorok az adatmegsemmisítéssel kapcsolatban?

Az auditorok teljes, dokumentált auditnyomot várnak el. Ide tartozik az adatmegőrzési és megsemmisítési szabályzat, a naprakész eszköznyilvántartás, az adatmegőrzési ütemtervek, valamennyi törlési tevékenység naplója, valamint a tanúsított külső megsemmisítési szolgáltatóktól származó megsemmisítési tanúsítványok. Ellenőrzik, hogy a dokumentált eljárásokat a gyakorlatban következetesen alkalmazzák-e.

Az adatmegsemmisítés a felhőszolgáltatásokra is vonatkozik?

Igen, teljes mértékben. A biztonságos adatmegsemmisítésért fennálló felelősség minden olyan környezetre kiterjed, ahol adatok találhatók, beleértve az IaaS, PaaS és SaaS környezeteket is. A felhőszolgáltatókkal kötött szerződéseknek olyan kikötéseket kell tartalmazniuk, amelyek a szerződés megszűnésekor garantálják az adatok biztonságos törlését. A megfelelés igazolásához a szolgáltatótól bizonyítékot — például törlési tanúsítványt — is kérni és megőrizni kell.

Mely ISO/IEC 27001:2022 kontrollok a legfontosabbak az adatmegsemmisítés szempontjából?

Az elsődleges kontrollok az A.8.10 (Információ törlése), amely a már nem szükséges adatok biztonságos eltávolítását szabályozza, valamint az A.7.14 (Berendezések biztonságos megsemmisítése vagy újrahasználata), amely a fizikai adathordozók adathordozó-tisztításával foglalkozik. Ezeket azonban számos további kontroll támogatja, többek között az A.5.9 (Eszközök nyilvántartása), az A.5.12 (Információk osztályozása) és az A.5.34 (A magánszféra és a PII védelme).

ISO 27001 GDPR NIS2 DORA Risk Management

Az adattemető: az információbiztonsági vezető útmutatója a megfelelőségi követelményeknek megfelelő, auditálható adatmegsemmisítéshez

Clarysec szerkesztőség

November 6, 2025

22 min read

#Adatmegsemmisítés #Információ törlése #Adathordozó-tisztítás #IBIR #Auditfelkészültség #Eszközkezelés #Adatvédelem #Megfelelés

Folyamatábra, amely bemutatja az információbiztonsági vezető 11 lépésből álló folyamatát a megfelelőségi követelményeknek megfelelő és auditálható adatmegsemmisítéshez, beleértve a szabályzat kialakítását, az adatosztályozást, a megőrzési időszakok nyomon követését, a biztonságos adathordozó-tisztítási módszerek kiválasztását (Clear, Purge, Destroy), valamint az auditnyomok dokumentálását.

Maria, egy gyorsan növekvő fintech vállalat információbiztonsági vezetője, ismerős szorítást érzett a gyomrában. A külső GDPR-auditig hat hét volt hátra, amikor egy rutinszerű eszköznyilvántartási ellenőrzés feltárta a vállalat múltjának egyik elfeledett maradványát: a régi irodaházban egy zárt raktárhelyiséget, tele kivont szerverekkel, poros biztonsági mentési szalagokkal és régi munkavállalói laptopok halmaival. Az „adattemető”, ahogy a csapata komoran nevezte, már nem elfeledett probléma volt. Ketyegő megfelelőségi bombává vált.

Milyen érzékeny ügyféladatok, szellemi tulajdon vagy személyes információk (PII) lapulhattak ezeken a meghajtókon? Történt-e bármelyikükön megfelelő adathordozó-tisztítás? Léteztek-e egyáltalán ezt igazoló nyilvántartások? A valódi fenyegetést a válaszok hiánya jelentette. Az információbiztonság világában az, amit nem tudunk, igenis kárt okozhat — és gyakran okoz is.

Maria helyzete nem egyedi. Számtalan információbiztonsági vezető, megfelelőségi vezető és vállalkozás számára a régi adatok jelentős, nem számszerűsített kockázatot jelentenek. Csendes kockázati kitettségként növelik a támadási felületet, bonyolítják az érintetti hozzáférési kérelmek kezelését, és aknamezőt teremtenek az auditorok számára. Az alapkérdés egyszerű, de rendkívül nehéz: mit kell tenni azokkal az érzékeny adatokkal, amelyekre már nincs szükség? A válasz nem merül ki a „delete” gomb megnyomásában. Védhető, ismételhető és auditálható folyamatot kell kialakítani az információ-életciklus kezelésére, a létrehozástól a biztonságos megsemmisítésig.

Az adathalmozás magas tétje

Az adatok vég nélküli, „hátha még kell” alapon történő megőrzése egy letűnt korszak maradványa. Ma már bizonyíthatóan veszélyes stratégia. Azok az érzékeny adatok, amelyek a hasznos vagy előírt élettartamukon túl is megmaradnak, számos fenyegetésnek teszik ki a szervezetet: megfelelőségi szankcióknak, adatvédelmi incidenseknek, véletlen kiszivárgásnak, sőt zsarolóvírusos támadásokhoz kapcsolódó zsarolásnak is.

A megőrzési időn túl tárolt adatok több kritikus kockázatot hoznak létre:

Megfelelőségi hiba: A szabályozó hatóságok egyre szigorúbban lépnek fel a szükségtelen adatmegőrzéssel szemben. Az adattemető közvetlenül sérti az adatvédelmi alapelveket, és jelentős bírságokhoz vezethet.
Nagyobb incidenshatás: Ha adatvédelmi incidens történik, minden megőrzött régi adat kockázati kitettséggé válik. Öt évnyi régi ügyféladat exfiltrációja nagyságrendekkel nagyobb kárt okoz, mint egyetlen évnyi adat megszerzése.
Működési hatékonyságromlás: A relevanciájukat vesztett adatok tömegének kezelése, védelme és átvizsgálása erőforrásokat köt le, lassítja a rendszereket, és szinte lehetetlenné teszi a GDPR szerinti „törléshez való jog” teljesítését.

Sok szervezet tévesen azt gondolja, hogy a „delete” megnyomása vagy egy adatbázis-bejegyzés eltávolítása eltünteti az adatokat. Ez ritkán igaz: maradványadatok maradnak a fizikai, virtuális és felhőalapú környezetekben.

Szabályozási előírások: vége a „tartsuk meg örökre” szemléletnek

A szabályok megváltoztak. A globális jogszabályok egyre egységesebben írják elő, hogy a személyes és érzékeny információkat csak a szükséges ideig lehet megőrizni, majd az időszak lejártakor biztonságosan törölni kell. Ez nem ajánlás, hanem jogszabályi és működési követelmény.

A Clarysec Zenith Blueprint: 30 lépéses auditori ütemterv anyaga így foglalja össze a biztonságos adatmegsemmisítés több szabályozási környezeten átívelő követelményét:

✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Előírja, hogy a személyes adatok nem őrizhetők meg a szükségesnél hosszabb ideig, támogatja a törléshez való jogot („az elfeledtetéshez való jog”), és kötelezővé teszi a már nem szükséges adatok biztonságos törlését.
✓ NIS2 Article 21(2)(a, d): Kockázatalapú technikai és szervezeti intézkedéseket követel meg annak biztosítására, hogy a már nem szükséges adatok biztonságosan törlésre kerüljenek.
✓ DORA Article 9(2)(a–c): Előírja az érzékeny információk védelmét a teljes életciklusuk során, beleértve a biztonságos megsemmisítést is.
✓ COBIT 2019 – DSS01.05 & DSS05.07: A biztonságos adattörléssel, az adathordozók megsemmisítésével és az információs vagyonelemek életciklus végi eltávolításával foglalkozik.
✓ ITAF 4th Edition – Domain 2.1.6: A jogi és szabályozási kötelezettségekkel összhangban elvégzett biztonságos adatmegsemmisítésre és selejtezésre vonatkozó bizonyítékokat követel meg.

Ez azt jelenti, hogy a szervezetnek dokumentált, betartatott és auditálható folyamatokkal kell rendelkeznie az adattörlésre. Ez nemcsak a papíralapú nyilvántartásokra vagy merevlemezekre vonatkozik, hanem a digitális környezet minden elemére: a felhőalapú tárolásra, a biztonsági mentésekre, az alkalmazásadatokra és a külső beszállítókra is.

A káosztól a kontrollig: szabályzatvezérelt megsemmisítési program kialakítása

Az adattemető jelentette kockázat hatástalanításának első lépése egy egyértelmű, hiteles keretrendszer kialakítása. Egy erős megsemmisítési program nem iratmegsemmisítőkkel és lemágnesező berendezésekkel kezdődik, hanem jól meghatározott szabályzattal. Ez a dokumentum a teljes szervezet számára egységes hivatkozási pontként szolgál, és összehangolja az üzleti, jogi és IT-csapatokat az adatok kezelésének és megsemmisítésének módjáról.

A Clarysec Adatmegőrzési és megsemmisítési szabályzat ehhez ad mintát. Egyik alapvető célját a 3.1 szabályzati pont világosan rögzíti:

“Annak biztosítása, hogy az adatokat csak addig őrizzék meg, ameddig az jogilag, szerződésesen vagy működésileg szükséges, és amikor már nincs rájuk szükség, biztonságosan megsemmisítsék őket.”

Ez az egyszerű megfogalmazás a szervezeti szemléletet a „tartsunk meg mindent” megközelítésről a „tartsuk meg, ami szükséges” megközelítésre állítja át. A szabályzat formális folyamatot hoz létre, biztosítva, hogy a döntések ne önkényesek legyenek, hanem konkrét kötelezettségekhez kapcsolódjanak. Ahogy az Adatmegőrzési és megsemmisítési szabályzat 1.2 szabályzati pontja kiemeli, a dokumentum az ISO/IEC 27001:2022 bevezetését támogatja az adattárolási időtartamra vonatkozó kontroll érvényesítésével, valamint az auditokra és szabályozói ellenőrzésekre való felkészültség biztosításával.

Kisebb szervezetek számára egy nagyvállalati szintű, terjedelmes szabályzat túlméretezett lehet. Az Adatmegőrzési és megsemmisítési szabályzat - KKV egyszerűsített alternatívát kínál, a lényeges elemekre fókuszálva, ahogy azt az 1.1 szabályzati pont rögzíti:

“E szabályzat célja, hogy érvényesíthető szabályokat határozzon meg az információk megőrzésére és biztonságos megsemmisítésére KKV-környezetben. Biztosítja, hogy a nyilvántartásokat csak a jogszabály, szerződéses kötelezettség vagy üzleti szükséglet által előírt időtartamig őrizzék meg, majd ezt követően biztonságosan megsemmisítsék.”

Akár nagyvállalatról, akár KKV-ról van szó, a szabályzat az alap. Felhatalmazást ad a cselekvésre, és keretrendszert biztosít ahhoz, hogy az intézkedések következetesek, védhetők és a biztonsági legjobb gyakorlatokkal összhangban legyenek.

A terv végrehajtása: ISO/IEC 27001:2022 kontrollok a gyakorlatban

A szabályzat meglétével Maria immár konkrét intézkedésekké alakíthatja annak alapelveit, az ISO/IEC 27001:2022 kontrolljai alapján. Két kontroll különösen fontos:

8.10 kontroll Információ törlése: Ez előírja, hogy „az információs rendszerekben, eszközökön vagy bármely más adathordozón tárolt információkat törölni kell, ha már nincs rájuk szükség.”
7.14 kontroll Berendezések biztonságos megsemmisítése vagy újrahasználata: Ez a fizikai hardverre fókuszál, és biztosítja, hogy a berendezés selejtezése, újrafelhasználása vagy értékesítése előtt az adathordozókon megfelelő adathordozó-tisztítás történjen.

De mit jelent valójában a „biztonságos törlés”? Itt választják el az auditorok a valódi kontrollokat a látszatmegoldásoktól. A Zenith Blueprint szerint a valódi törlés messze több annál, mint egy fájl lomtárba helyezése. Olyan módszereket igényel, amelyek az adatokat helyreállíthatatlanná teszik:

Digitális rendszerek esetében a törlésnek biztonságos törlést kell jelentenie, nem pusztán a „delete” megnyomását vagy a lomtár ürítését. A valódi törlés magában foglalja:
✓ Az adatok felülírását (például DoD 5220.22-M vagy NIST 800-88 módszerekkel),
✓ A kriptográfiai törlést (például az adatok védelméhez használt titkosítási kulcsok megsemmisítését),
✓ Vagy biztonságos törlő segédprogramok alkalmazását az eszközök kivonása előtt.

Fizikai nyilvántartások esetében a Zenith Blueprint keresztvágásos iratmegsemmisítést, égetést vagy tanúsított megsemmisítési szolgáltatások igénybevételét javasolja. Ez a gyakorlati útmutatás segít a szervezeteknek a szabályzattól az eljárásokig eljutni, meghatározva a kontroll céljának teljesítéséhez szükséges pontos technikai lépéseket.

Holisztikus nézőpont: a megsemmisítés egymáshoz kapcsolódó biztonsági hálója

Az adattemető kezelése nem egyszálú feladat. A hatékony adatmegsemmisítés szorosan kapcsolódik más biztonsági területekhez. Itt válik nélkülözhetetlenné a holisztikus szemlélet, amelyet a Clarysec Zenith Controls: több megfelelési keretrendszert átfogó útmutató biztosít. Iránytűként működik, és megmutatja, hogy egy kontroll hatékony működése hogyan támaszkodik számos más kontrollra.

Vizsgáljuk meg ebből a szempontból a 7.14 kontrollt (Berendezések biztonságos megsemmisítése vagy újrahasználata). A Zenith Controls útmutató megmutatja, hogy ez nem elszigetelt tevékenység. Sikeressége kapcsolódó kontrollok hálójától függ:

5.9 Eszközök nyilvántartása: Nem lehet biztonságosan megsemmisíteni azt, amiről nem tudjuk, hogy létezik. Maria első lépése az, hogy a raktárhelyiségben lévő minden szervert, laptopot és szalagot nyilvántartásba vegyen. A pontos eszköznyilvántartás az alap.
5.12 Információk osztályozása: A megsemmisítés módja az adatok érzékenységétől függ. Tudni kell, mit semmisítünk meg, hogy kiválasztható legyen a megfelelő adathordozó-tisztítási szint.
5.34 A magánszféra és a PII védelme: A berendezések gyakran tartalmaznak személyes adatokat. A megsemmisítési folyamatnak biztosítania kell valamennyi PII visszafordíthatatlan megsemmisítését, közvetlenül kapcsolódva a GDPR-hoz hasonló jogszabályok szerinti adatvédelmi kötelezettségekhez.
8.10 Információ törlése: Ez a kontroll adja meg a „mit” kérdésre a választ (az információ törlése, ha már nincs rá szükség), míg a 7.14 a mögöttes fizikai adathordozókra vonatkozó „hogyan”-t határozza meg. Ugyanannak az éremnek a két oldaláról van szó.
5.37 Dokumentált üzemeltetési eljárások: A biztonságos megsemmisítést meghatározott, ismételhető folyamat szerint kell végrehajtani a következetesség biztosítása és az auditnyom létrehozása érdekében. Az eseti megsemmisítések bármely auditor számára figyelmeztető jelet jelentenek.

Ez az összekapcsoltság azt mutatja, hogy egy érett biztonsági program az adatmegsemmisítést nem takarítási feladatként, hanem az információbiztonság-irányítási rendszer (IBIR) szerves részeként kezeli.

Technikai mélyfúrás: adathordozó-tisztítás és támogató szabványok

A kontrollok hatékony végrehajtásához elengedhetetlen megérteni az adathordozó-tisztítás különböző szintjeit, ahogy azokat például a NIST SP 800-88 keretrendszer meghatározza. Ezek a módszerek rétegzett megközelítést kínálnak annak biztosítására, hogy az adatok az érzékenységüknek megfelelően helyreállíthatatlanok legyenek.

Adathordozó-tisztítási módszer	Leírás	Példa felhasználási esetre
Clear	Az adatok felülírása nem érzékeny adatokkal, szabványos olvasási/írási parancsok használatával. Véd az egyszerű adat-helyreállítási technikákkal szemben.	Laptop újraosztása egy másik munkavállaló számára ugyanabban a védett környezetben.
Purge	Fejlett technikák, például lemágnesezés (mágneses adathordozóknál) vagy kriptográfiai törlés. Ellenáll a laboratóriumi helyreállítási támadásoknak.	Olyan szerver kivonása, amely érzékeny, de nem kiemelten titkos pénzügyi adatokat tartalmazott.
Destroy	Az adathordozó fizikai megsemmisítése (iratmegsemmisítés, égetés, porrá őrlés). Az adatok helyreállítása lehetetlen.	Szigorúan bizalmas szellemi tulajdont vagy PII-t tartalmazó merevlemezek megsemmisítése.

A megfelelő módszer kiválasztása az adatok osztályozásától függ. A szakosított szabványok iránymutatása ezen a ponton különösen értékes. Egy erős program az ISO/IEC 27001:2022 követelményein túl széles körű támogató keretrendszerekre támaszkodik.

Szabvány	Fő relevancia
ISO/IEC 27005:2022	A törlést kockázatkezelési lehetőségként építi be, és a nem biztonságos megsemmisítést nagy hatású kockázatként azonosítja.
ISO/IEC 27701:2019	Konkrét kontrollokat ír elő a PII törlésére a berendezések újrahasználata vagy megsemmisítése esetén.
ISO/IEC 27018:2019	Kötelezővé teszi a felhőalapú PII biztonságos törlését, mielőtt az azt tartalmazó bármely vagyonelemet megsemmisítenék.
ISO/IEC 27017:2015	Felhőspecifikus iránymutatást ad, biztosítva a vagyonelemek adathordozó-tisztítását a virtuális vagy fizikai erőforrások megszüntetésekor.
NIST SP 800-88	Részletes technikai iránymutatást ad az adathordozó-tisztításra, meghatározva a Clear, Purge és Destroy technikákat.

Jön az auditor: hogyan bizonyítható, hogy a folyamat működik

Az audit sikeres teljesítése nemcsak arról szól, hogy a helyes dolgot tesszük, hanem arról is, hogy bizonyítani tudjuk, hogy megtettük. Maria számára ez azt jelenti, hogy az adattemetőben található vagyonelemek megsemmisítési folyamatának minden lépését dokumentálni kell. A Zenith Blueprint egyértelmű ellenőrzőlistát ad arról, mit fognak az auditorok kérni a 8.10 kontrollhoz (Információ törlése):

“Adja át az Információtörlési szabályzatot… Mutassa be a technikai betartatást az üzleti rendszerekben konfigurált megőrzési beállításokon keresztül… Kérhetnek bizonyítékot a biztonságos törlési módszerekre: lemezek törlésére jóváhagyott eszközökkel… vagy dokumentumok biztonságos megsemmisítésére. Ha szerződés lejártakor töröl adatokat… mutassa be az ezt igazoló auditnyomot vagy jegyet.”

Az auditorok elvárásainak teljesítéséhez minden megsemmisítési eseményhez átfogó bizonyítékcsomagot kell létrehozni. Ehhez elengedhetetlen az adattörlési nyilvántartás.

Auditnyom példatábla

Eszközazonosító	Eszköztípus	Hely	Törlési módszer	Bizonyíték/napló	Jóváhagyó
SRV-FIN-04	Szerver HDD	Helyszíni adatközpont	Lemágnesezés + fizikai iratmegsemmisítés	Megsemmisítési tanúsítvány #DC44C8	Adatgazda
CUST-DB-BKP-112	LTO-8 szalag	Iron Mountain	Égetés (tanúsított)	Megsemmisítési tanúsítvány #IM7890	IT-üzemeltetés
PROJ-X-DATA	AWS S3 tároló	`eu-west-1`	Életciklus-szabályzat ‘DeleteObject’	AWS törlési napló #1192	Felhőüzemeltetés
HR-LAPTOP-213	Laptop SSD	IT-raktár	Kriptográfiai törlés	Törlési napló #WL5543	IT-támogatás

Az auditorok többféle nézőpontból vizsgálják ezt. A Zenith Controls útmutató részletezi, hogy a különböző auditkeretrendszerek hogyan ellenőrzik a folyamatot:

Auditkeretrendszer	Szükséges bizonyíték	Megközelítés
ISO/IEC 19011:2018	A gyakorlatok megfigyelése, megőrzési naplók és megsemmisítési tanúsítványok felülvizsgálata.	Interjúk, dokumentum-felülvizsgálat, mintavétel
ISACA ITAF	Elégséges és megbízható bizonyítékok háromszögelése szabályzatokból, naplókból és interjúkból.	Háromszögelés
NIST SP 800-53A	Nyilvántartások, amelyek igazolják, hogy jóváhagyott adathordozó-tisztítási módszereket alkalmaztak (a NIST SP 800-88 szerint).	Technikai tesztelés, nyilvántartások vizsgálata
COBIT 2019	Bizonyíték az irányítási felügyeletről, a kockázatkezelési integrációról és a jelentéstételről.	Irányítási felülvizsgálat, folyamatbejárás

Gyakori buktatók és elkerülésük

Még meglévő szabályzat mellett is sok szervezet elakad a végrehajtás során. Az alábbiak gyakori buktatók, valamint az, hogy egy strukturált megközelítés hogyan segít ezek kezelésében:

Buktató	Hogyan segít a Clarysec által támogatott megközelítés
Árnyékadatok: Az adatok elfeledett biztonsági mentésekben, archívumokban vagy shadow IT környezetben tovább élnek.	A teljes eszköznyilvántartáshoz kapcsolt, betartatott megőrzési nyilvántartás biztosítja, hogy minden példányt azonosítsanak és nyomon kövessenek a megsemmisítésig.
Csak logikai törlés: Az adat töröltként van megjelölve, de továbbra is visszaállítható.	A szabályzat az adatosztályozás alapján biztonságos törlési módszereket ír elő (felülírás, kriptográfiai törlés, fizikai megsemmisítés).
Felhőszolgáltatói bizonytalanság: Nem egyértelműek a biztonságos törlési folyamatok SaaS/IaaS környezetben.	A beszállítói szerződéseket frissíteni kell úgy, hogy a szolgáltatás megszűnésekor törlési tanúsítványt vagy ellenőrizhető naplózott megerősítést követeljenek meg.
Manuális és hibára hajlamos folyamatok: Arra hagyatkoznak, hogy az egyének emlékezzenek az adatok törlésére.	Ahol lehetséges, automatizálni kell a betartatást rendszer-életciklus szabályzatokkal (például M365-ben, AWS S3-ban). Minden manuális törléshez dokumentált bizonyítékot kell megkövetelni.
Nincs bizonyíték a megsemmisítésre: Hiányoznak a szabályozó hatóságok számára elfogadható, auditálható nyilvántartások.	A központosított adattörlési nyilvántartás és valamennyi külső fél által kiállított megsemmisítési tanúsítvány megőrzése védhető auditnyomot hoz létre.

Következtetés: alakítsa az adattemetőt stratégiai előnnyé

Hat héttel később Maria végigvezette a GDPR-auditort a csapata munkáján. A raktárhelyiség üres volt. Helyette digitális archívum állt rendelkezésre minden kivont vagyonelem részletes nyilvántartásával: eszköznyilvántartási naplókkal, adatosztályozási jelentésekkel, adathordozó-tisztítási eljárásokkal és aláírt megsemmisítési tanúsítványokkal. Ami korábban szorongást okozott, most az érett kockázatkezelés bemutató példájává vált.

Az adattemető a reaktív biztonsági kultúra tünete. Átalakításához proaktív, szabályzatvezérelt megközelítés szükséges. Az adatmegsemmisítést nem IT-takarítási feladatként, hanem stratégiai biztonsági funkcióként kell kezelni, amely csökkenti a kockázatot, biztosítja a megfelelést, és bizonyítja az érzékeny információk védelme iránti elkötelezettséget.

Készen áll saját adattemetője kezelésére? Kezdje azzal, hogy megalapoz egy bizonyítékokra épülő, reziliens megközelítést az információ-életciklus kezelésére.

Gyakorlati következő lépések:

Alapok megteremtése: Vezessen be egyértelmű és érvényesíthető szabályzatot a Clarysec sablonjaival, például az Adatmegőrzési és megsemmisítési szabályzat vagy az Adatmegőrzési és megsemmisítési szabályzat - KKV használatával.
A teljes környezet feltérképezése: Hozzon létre és tartson fenn átfogó nyilvántartást valamennyi információs vagyonról. Nem lehet megsemmisíteni azt, amiről nem tudjuk, hogy létezik.
Megőrzés meghatározása és betartatása: Alakítson ki formális megőrzési ütemtervet, amely minden adattípust jogi, szerződéses vagy üzleti követelményhez kapcsol, majd automatizálja annak betartatását.
A biztonságos megsemmisítés beépítése az üzemeltetésbe: Integrálja a biztonságos törlési és adathordozó-tisztítási eljárásokat az IT-eszközök kivonására vonatkozó szabványos üzemeltetési eljárásokba.
Mindent dokumentáljon: Hozzon létre és tartson fenn auditálló nyomvonalat minden megsemmisítési intézkedésről, beleértve a naplókat, jegyeket és külső felek tanúsítványait.
Terjessze ki az ellátási láncra: Biztosítsa, hogy a felhőszolgáltatókkal és más beszállítókkal kötött szerződések szigorú követelményeket tartalmazzanak a biztonságos adatmegsemmisítésre, és követelje meg a megfelelés bizonyítékát.

Minden felesleges adatbájt kockázat. Vegye vissza az irányítást, erősítse a megfelelését, egyszerűsítse az auditokat, és csökkentse az adatvédelmi incidensekkel szembeni kitettségét.

Kérjen bemutatót, vagy ismerje meg a teljes Zenith Blueprint és Zenith Controls könyvtárat, hogy megkezdhesse az utat.

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council