介质销毁处理
- 在数据销毁过程中,为了防止攻击者通过对存储介质进行数据恢复操作,以至造成数据泄露的安全问题,组织机构需要对被替换或淘汰的存储介质进行物理销毁,不同的存储介质会使用不同的销毁方法。
建立负责介质销毁处理的职能部门
- 为了保证能够彻底销毁掉已经替换掉的存储介质,在条件允许的情况下,组织机构应该设立介质销毁安全管理部门,并招募相关的管理人员和技术人员,让其负责为公司提供必要的技术支持,为组织机构制定整体的介质销毁处置策略和管理制度,为技术人员建立规范的介质销毁监督流程和审批机制,并推动相关要求在组织机构中切实可靠地执行。除此之外,介质销毁安全管理部门还需要为业务团队提供相应的支持,以评估不同介质销毁场景中的风险,制定针对性介质销毁监控机制,为介质销毁审批人员(技术人员)进行专门的安全意识培训,确保其可以按照国家相关法律法规和标准销毁存储介质,以及加强对介质销毁人员的监管。
明确介质销毁处理岗位的能力要求
- 介质销毁处理安全管理部门管理人员
- 具备良好的数据安全风险意识。
- 熟悉相关法律法规以及所属的行业政策及监管要求。
- 进行介质销毁安全管理及制定介质销毁处置策略和管理制度的时候,严格执行网络安全法,数据安全法,个人信息保护法等国家法律法规要求和行业规范。
- 相关管理人员具备一定的介质销毁安全管理经验。
- 拥有良好的介质销毁安全专业知识基础。
- 熟悉主流的介质销毁安全策略,管理流程和技术工具。
- 根据不同的介质销毁场景进行相应的风险评估。
- 根据介质销毁的整体需求明确应使用的介质销毁工具。
- 能够主动根据行业及政策变化更新相关的知识和技能。
- 具备结合业界标准,合规准则和业务场景制定标准化介质销毁安全审批和监督流程的能力。
- 介质销毁处理安全管理部门技术人员
- 具备良好的介质销毁安全风险意识。
- 熟悉相关的法律法规及政策要求。
- 熟悉主流厂商的介质销毁方案。
- 熟悉主流的介质销毁安全检测工具或检测平台及其使用方法。
- 拥有一年以上的介质销毁安全审核经验。
- 充分理解并执行由管理人员制定的介质销毁安全策略方案。
- 具备监控销毁介质的登记,审批,交接等介质销毁过程的能力。
- 具备主动根据政策变化和技术发展更新自身相关知识和技能的能力。
- 具备硬销毁和软销毁的技术能力。
- 具备对突发介质销毁事件进行应急处理的能力。
介质销毁处理岗位的建设及人员能力的评估方法
-
1.调研访谈
-
对介质销毁安全部门管理人员的访谈内容为:确认其在制定整体的介质销毁处置策略和管理制度上、在定义介质销毁的场景上、在明确销毁的对象和流程上、在根据介质存储内容的重要性选取不同的介质销毁方法和机制上、在建立对存储介质销毁的监控机制上、在规定标准的介质销毁安全检测工具上、在建立介质销毁审计日志管理规范上、在制定定制化的介质销毁安全监督和审计流程上、在对介质销毁的业务场景进行风险评估上符合相关的法律规定,且能胜任该职位。同时,调研访谈还应该确认管理人员是否依据明确定义的介质销毁场景,以及实际的数据保密要求,采用了不同的介质销毁方法,比如捣碎法、剪碎法、焚毁法等;管理人员是否设置了介质销毁相关的监督角色,以监督操作过程,并对审批和销毁过程进行了记录和控制。
-
对介质销毁安全部门技术人员的访谈内容为:确认其是否具有一年以上的介质销毁安全审批经验;是否熟悉介质销毁安全的相关合规要求;是否能够按照国家相关法律法规和管理人员制定的介质销毁处置规范对不同等级的存储介质进行销毁;是否能够准确地实施由管理人员制定的定制化介质销毁监管流程;是否能够确保对销毁介质的登记、审批、交接等介质销毁过程进行监控;是否能够对突发情况进行及时的应急处置,并追责溯源。
-
2.问卷调查
-
介质销毁安全部门管理人员是否制定了针对公司的有效的介质销毁处置原则及管理规范;是否明确定义了销毁对象和销毁流程;是否能够依据介质存储内容的重要性,明确不同类型的存储介质的销毁方法和销毁机制;是否建立了对存储介质销毁的监控机制;是否可以对不同的介质销毁安全业务场景进行风险评估;是否可以根据不同的介质销毁业务场景的安全需求制定出定制化的介质销毁监管流程标准;是否能够依据国家的相关法律法规对介质销毁的过程进行严格规范的监管;是否规定了在不同场景下应使用的介质销毁工具;是否指定了统一的介质销毁安全审查工具及其相关的使用标准,以用于应对突发情况,并追责溯源。
-
3.流程观察
-
以中立的视角观察公司介质销毁安全部门管理人员的工作流程,包括在为公司制定整体的介质销毁处置原则及管理规范时,为公司建立介质销毁流程和审批机制时,为不同的介质销毁业务场景提供安全风险评估时,为不同的业务场景制定定制化介质销毁安全监管流程方案时,在定义介质销毁的场景、对象和机制流程时,在监控销毁介质的登记、审批等销毁过程时,是否可以识别出其中可能存在的介质销毁安全风险,是否具有贴合组织机构的内部框架,是否满足不同业务场景的安全需求,是否符合国家相关法律法规的要求。
-
以中立的视角观察公司介质销毁安全部门技术人员的工作流程,包括在审核待销毁的存储介质内容时,审核介质销毁的工作流程时,销毁不同类型的存储介质(如磁介质、光介质、半导体介质等)时,按照管理团队人员建立的存储介质销毁监控机制工作时,是否可以识别出其中可能存在的安全风险,方法流程是否符合标准的流程,是否符合国家相关法律法规的要求。
-
4.技术检测
-
介质销毁处理阶段的技术检测,需要使用技术工具检测介质销毁的工作流程是否符合安全规范与法律规定;检测介质销毁过程中的存储内容和销毁方法等指标,以确保没有出现任何超出介质销毁授权范围的情况;检测介质销毁监管机制是否正常,销毁过程和操作日志等重要信息是否已被正确、有效地记录与保存,确保当出现突发情况时相关人员能够快速地进行应急处置;检测介质销毁的方式是否符合标准,以及介质销毁的安全需求是否得到满足。
明确介质销毁安全管理的目的
- 存储介质在被替换或淘汰不用时,需要对介质进行彻底地物理销毁,以保证数据无法复原,以免造成信息泄露,尤其是国家涉密数据。建立存储介质的安全销毁管理制度,可以防止因存储介质丢失、被窃或未授权的访问而导致存储介质中有数据泄露的安全风险。
明确介质销毁审批流程
- 组织机构内的人员必须严格遵守组织所制定的介质销毁安全管理制度,且能根据实际情况,明确需要销毁的介质。对于以下情形之一的存储介质可以提出介质销毁申请。
- 备份数据的实际保存时间已经超过部门的制度要求,且部门的上级领导已经确认该数据再无保留价值。
- 存储介质因过频使用或自然老化而无法使用。
- 因水灾、火灾等其他事故造成的存储介质损坏而无法使用。
- 因特殊原因或工作需要销毁存储介质。
- 组织人员明确需要销毁的存储介质后,应在介质销毁平台上提出相应的介质销毁申请,该申请需要填写的内容包括申请人、销毁介质清单、介质类型、销毁原因等。经上级领导审批后,提报介质销毁安全管理部门审批。
- 介质销毁安全管理部门接到介质销毁申请后,应组织相关人员开展介质销毁评审会议,对所申请的介质进行合理性和必要性评估,并根据实际的数据保密性要求,评审介质销毁的手段和方法,比如消磁法、捣碎法、焚毁法等,以确保能以不可逆的方式销毁存储介质内容。对于评审通过的介质销毁申请,介质销毁安全管理部门应在介质销毁管理平台上录入介质销毁实施期限并确认销毁申请审核。若评审结果为否决销毁,则由介质销毁安全管理部门在介质销毁管理平台进行否决需求操作。
- 为防止机密数据被泄露给未经授权的人员,各部门人员应将需要销毁的介质送到介质销毁安全管理部门,由介质安全管理部门按照评审通过的销毁方法统一实施安全销毁操作。未经审核和评审的存储介质,组织人员不得擅自销毁。
制定销毁监督流程
- 组织机构应制定介质销毁监督流程,需要设置介质销毁相关的监督人员来监督介质的销毁过程,确保介质销毁操作符合要求,并对审批和销毁过程进行记录和控制。
使用技术工具
- 在存储介质需要被替换掉或淘汰掉时,如果仅仅是删除存储介质中的文件,则攻击者仍然有可能通过技术手段对相关的数据进行恢复,因此需要对存储介质进行彻底的物理销毁,以保证数据无法复原,从而避免造成信息泄露,尤其是国家涉密数据,应防止因存储介质丢失、被窃或未授权的访问而导致存储介质中有数据泄露的安全风险。
- 介质销毁处理技术工具应实现的目标为:
- 对存储介质如闪存盘,磁盘,磁带,光盘等进行物理销毁,确保数据无法复原。
- 目前主要是通过物理,化学的方式直接销毁存储介质。
- 物理销毁可分为消磁,捣碎,焚毁等方法。
- 化学销毁方法主要是滴盐酸法。
物理销毁
- 碎法/剪碎法:
- 是指借助外力将介质的存储部件损坏,使数据无法恢复。粉碎后残渣的颗粒度需要符合国家BMB21-2007中规定的销毁标准:长度≤3mm,面积≤9mm,凹进上表面0.2mm,破坏同心度使偏差达10%。捣碎法/剪碎法一般适用于光盘、U盘、IC卡的销毁,不适用于硬盘销毁。
- 焚毁法:
- 是指利用微波加热或其他方法在炉内产生高温使存储介质焚烧,以达到彻底销毁数据的目的。一般情况下,光盘、软盘、磁带将在150~300℃融化裂解;硬盘中最不易融化的铝制材料将在700℃左右开始裂解。由于高温销毁炉会产生较高的热量排放,因此不宜放置在普通办公室内,需放置在空气流通良好的专业销毁场地使用。
- 消磁法:
- 消磁是磁介质被擦除的过程。硬盘盘面上的磁性颗粒沿磁道方向排列,不同的N/S极连接方向分别代表数据0或1。对硬盘瞬间加强磁场,磁性颗粒就会沿磁场强的方向一致排列,变成清一色的0或1,于是硬盘就失去了数据记录的功能。
化学销毁
- 化学销毁即利用酸性试剂对存储介质的盘面进行腐蚀,通过破坏盘面的方式来避免数据还原,常见的化学销毁方法有滴盐酸法等。这种方式在过去比较奏效,但随着电子技术的迅猛发展,生产厂家为了提高介质盘片的耐磨性,会在盘面镀合金薄膜,使盘片具有抗腐蚀性,这导致化学腐蚀法的效果越来越差。
技术工具的使用目标和工作流程
- 介质销毁处理工具应能保证存储介质被销毁且其上的数据无法被复原。