ISO 21964

ISO 21964

Informieren Sie sich jetzt über die geltenden Industriestandards zur gesetzeskonformer Vernichtung von Informationsträgern.

3 ISO 21964

Grundlagen und Definitionen

ISO 21964 – TEIL 1

Die ISO 21964 Teil 1 ist eine Norm, die sich mit der Klassifizierung von Akten, Datenträgern und Datenträgervernichtung befasst. Diese Norm legt verschiedene Sicherheitsstufen fest, um den Schutz sensibler Informationen zu gewährleisten. Die Klassifizierung erfolgt anhand der Art der Informationen und des potenziellen Schadens, der durch unberechtigten Zugriff entstehen könnte. Dieser Standard spielt eine entscheidende Rolle in der Informationssicherheit und ist besonders relevant für Organisationen, die mit vertraulichen Daten umgehen. Es werden unterschiedliche Schutzklassen definiert, die den Grad der Zerstörung von Datenträgern und Akten beschreiben, um sicherzustellen, dass Informationen nicht wiederhergestellt werden können. Die ISO 21964 Teil 1 bietet somit einen Leitfaden für die sichere Vernichtung von Informationen und trägt dazu bei, Datenschutzstandards in verschiedenen Branchen zu gewährleisten.

ISO 21964 – TEIL 2

Der zweite Abschnitt der ISO 21964, der ebenfalls im Oktober 2012 veröffentlicht wurde, erläutert anhand der Definitionen des ersten Teils spezifische technische Anforderungen an Maschinen, die zur Vernichtung von Datenschutzmaterial eingesetzt werden. In diesem Zusammenhang wird auf die zulässigen Prüfmethoden gemäß DIN 19054 und DIN EN ISO 216 verwiesen. Diese Vorgaben ermöglichen eine ordnungsgemäße Auditierung und Zertifizierung der verwendeten Technik.

Es ist grundlegend erforderlich, dass die eingesetzten Maschinen die für die jeweilige Art des Datenschutzmaterials erforderliche Vernichtungsqualität aufweisen, um die notwendige Partikelgröße zu erreichen. Auf der mechanischen Ebene erfolgt die Festlegung der Sicherheitsstufe durch den Einsatz unterschiedlicher Siebeinsätze, die die Größe der während des Zerteilungsvorgangs entstehenden Partikel beeinflussen. Für die genannten Sicherheitsstufen sind jeweils eine Normgröße und eine Toleranzgröße definiert. Dabei darf der Anteil an vernichteten Partikeln, deren Größe die Normgröße überschreitet und höchstens die Toleranzgröße erreicht, 10 Prozent der Gesamtmenge der vernichteten Materialien nicht übersteigen.

ISO 21964 – TEIL 3

Dieser Abschnitt der Norm fasst den Anwendungsbereich der eigentlichen Norm zusammen, die normativen Anforderungen der ersten beiden Abschnitte sowie drei exemplarische Prozessabläufe für verschiedene Varianten der datenschutzkonformen Vernichtung. Zusätzlich werden technische und organisatorische Maßnahmen zur Sicherstellung des Prozesses sowie Leitlinien für die Planung und Durchführung von Audits aufgeführt.

Der dritte Teil der ISO 21964 (DIN 66399) bildet somit einen bedeutenden, möglicherweise sogar den entscheidenden Teil der Norm. Durch die konkrete Umsetzung der beschriebenen Prozesse werden die technischen und organisatorischen Anforderungen effektiv in die Praxis überführt.

Materialdefinition

Die Materialarten werden wie folgt definiert:

P
F
O
T
H
E

Informationsdarstellung auf elektronischen Datenträgern z. B. USB-Sticks, Chipkarten etc.

Informationsdarstellung auf Festplatten mit magnetischem Datenträger

Informationsdarstellung auf magnetischen Datenträgern, z. B. Disketten, ID-Karten etc.

Informationsdarstellung auf optischen Datenträgern, z. B. CDs, DVDs oder BluRay-Discs

Verkleinerte Informationsdarstellung, z. B. Microfiche, Folien etc.

Informationsdarstellung in Originalgröße, z. B. Papier, Druckformen etc.

Für die jeweilige Kombination aus Materialart und Sicherheitsstufe sind verschiedene Partikelgrößen definiert. Je höher die Sicherheitsstufe, desto kleiner der zulässige Partikel.

Das gilt bei Papier:

P-1
P-2
P-3
P-4
P-5
P-6
P-7
Zulässige Normgröße Zulässige Toleranzgröße (max. 10 %)
2.000 mm² 3.800 mm²
Zulässige Normgröße Zulässige Toleranzgröße (max. 10 %)
800 mm² 2.000 mm²
Zuläassige Normgröße Zulässige Toleranz (max. 10 %)
320 mm² 800 mm²
Zulässige Normgröße Zulässige Toleranzgröße (max. 10 %)
160 mm² 480 mm²
Zulässige Normgröße Zulässige Toleranzgröße (max. 10 %)
30 mm² 90 mm²
Zulässige Normgröße Zulässige Toleranzgröße (max. 10 %)
10 mm² 30 mm²
Zulässige Normgröße Zulässige Toleranzgröße (max. 10 %)
5 mm² oder zu Asche zerkleinert mit max. 4 mm² 0

Das gilt bei Datenträgern:

H-1
H-2
H-3
H-4
H-5
H-6
H-7
Anforderung Zulässige Normgröße

Zulässige Toleranzgröße

(max. 10%)

Datenträger mechanisch oder elektronisch funktionsuntüchtig gemacht. Zerteilung nicht erforderlich
Anforderung Zulässige Normgröße

Zulässige Toleranzgröße

(max. 10%)

Datenträger beschädigt. Zerteilung nicht erforderlich
Anforderung Zulässige Normgröße

Zulässige Toleranzgröße

(max. 10%)

Datenträger verformt. Zerteilung nicht erforderlich.
Anforderung Zulässige Normgröße

Zulässige Toleranzgröße

(max. 10%)

Datenträger mehrfach verformt und / oder zerteilt. 2000 mm² 3.800 mm²
Anforderung Zulässige Normgröße

Zulässige Toleranzgröße

(max. 10%)

Datenträger mehrfach verformt und / oder zerteilt. 320 mm² 800 mm²
Anforderung Zulässige Normgröße

Zulässige Toleranzgröße

(max. 10%)

Datenträger mehrfach verformt und / oder zerteilt. 10 mm² 30 mm²
Anforderung Zulässige Normgröße

Zulässige Toleranzgröße

(max. 10%)

Datenträger mehrfach verformt und / oder zerteilt ODER über Curie-Temperatur erhitzt. 5 mm² oder zu Asche zerkleinert mit max. 5 mm². keine

Die eingesetzte Maschine sollte in der Lage sein, die Zerstörung des Materials vollständig und gemäß den vorgegebenen Anforderungen durchzuführen, wobei die vollständige Kontrolle über den Vernichtungsprozess gewährleistet sein muss.

Zusätzliche Aspekte des zweiten Teils der ISO 21964 (in den Abschnitten 5-7) beinhalten formale Vorgaben bezüglich der Prüfkriterien, darunter:

  • Umgebungsbedingungen
  • Art des zu verwendenden Mustermaterials
  • Durchsatzleistung der Maschine
  • Sowie formale Anforderungen an die Prüfmethodik und die Dokumentation des Prüfprozesses.

Schutzklassen

Schutzklasse 1

Informationen, die für größere Gruppen bestimmt sind,  wie Arbeitspläne, Telefonlisten und allgemeine E-Mails.      

Schutzklasse 2

Informationen, die nur einem kleinen Personenkreis bekannt sind wie Mitarbeiter-, Kunden-, Lieferantendaten, einfache Geburtstagslisten, normale Unterlagen aus Forschungs- und Entwicklungsarbeit.

Schutzklasse 3

Informationen, die ienem namentlich bekannten Kreis von Personen verfügbar sind wie finanzielle Ergebnisse, Preis-, Marketingstrategien, Informationen zu Pension, Rente, Arbeitsverträge, Lebensläufe oder hochsensible Unterlagen aus Forschungs- Entwicklungsarbeit. 

Sicherheitsstufen

Sicherheitsstufe 1

Die Datenwiederherstellung erfordert keine besonderen Kenntnisse ist jedoch nur mit erheblichem Zeit- und Arbeitsaufwand möglich. 

Geeignet für allgemeine Daten.

Sicherheitsstufe 2

Zur Datenwiederherstellung werden besondere Fachkentnisse sowie erheblicher Zeit- und Arbeitsaufwand benötigt.

Geeignet für interne Daten.

Sicherheitsstufe 3

Die Datenwiederherstellung erfordert spezielle Fachkentnisse sowie besondere Hilfsmittel. Hinzu kommt auch ein erheblicher Zeit- und Arbeitsaufwand.

Geeignet für vertrauliche Daten.

Sicherheitsstufe 4

Die Datenwiederherstellung erfordert den Einsatz außergewöhnlicher Hilfsmittel sowie einen außergewöhnlichen Arbeits- und Zeitaufwand.

Geeignet für besonders sensible Daten.

Sicherheitsstufe 5

Die Datenwiederherstellung erfordert „gewerbeunübliche Einrichtungen“ wie z. B. speziell zur Datenwiederherstellung konsturierte Geräte.

Geeignet für geheime Daten.

Sicherheitsstufe 6

Dei Datenwiederherstellung ist nach dem heutigen Stand der Technik niicht möglich.

Geeignet für geheime Daten mit außergewöhnlich hohem Schutzbedarf.                                                                                  

Sicherheitsstufe 7

Die Datenwiederherstellung ist nach dem heutigen Stand der Technik und Wissenschaft nicht möglich.

Geeignet für streng geheime Daten.                                                                                                                                                                               

Schutzklasse + Sicherheitsstufe

Schutzklasse 1
Schutzklasse 2
Schutzklasse 3

Folgende Sicherheitsstufen werden bei der Schutzklasse 1 zugewiesen:

Sicherheitsstufe 1 + 2 + 3

Folgende Sicherheitsstufen werden bei der Schutzklasse 2 zugewiesen:

Sicherheitsstufe 3 + 4 + 5

Folgende Sicherheitsstufen werden bei der Schutzklasse 3 zugewiesen:

Sicherheitsstufe 4 + 5 + 6 + 7

Personenbezogene Daten

Beachten Sie, dass personenbezogene Daten stets mindestens auf der Sicherheitsstufe 3 vernichtet werden müssen, somit ist die Schutzklasse 2 die Mindeste anforderung für die Vernichtung personenbezogener Daten.

Erhöhung von Sicherheitsstufen

Durch verschiedene Maßnahmen können die im eigentlichen mechanischen Vorgang erzielten Sicherheitsstufen erhöht werden. Voraussetzungen hierfür sind:

  • generelle Zulässigkeit
  • die Zustimmung des Auftraggebers
  • eine Mindestmaterialmenge von 100 Kilogramm

Die Erhöhung umfasst die Vermischung und Verpressung des vernichteten Materials für Datenträger der Kategorie P* und F**; dieses Vorgehen ermöglicht die einmalige Anhebung auf die nächsthöhere Sicherheitsstufe bis zur maximal zulässigen Stufe 4. Somit würde die Sicherheitsstufe P-4 z. B. dadurch erreicht werden, dass die Informationsträger in der Sicherheitsstufe P-3 zerkleinert und die Partikel anschließend vermischt und verpresst werden.
Die Vernichtung der Datenträger durch den Verantwortlichen ist der Vernichtung durch externe Dienstleister vorzuziehen.

Your web development skillset
Erstanmeldung für Kunden
style>
Rufen Sie uns an!
70l Sicherheitsbehälter, Aktenvernichtung

250 Liter
Behälter

Schutzklasse 3

mobile Vernichtung

90,67/ Stück

Fassungsvermögen ca. 30-35 DIN-A4 Aktenordner

0
0
Warenkorb
Ihr Warenkorb ist leer