目的
本标准的目的是提供有关正确消毒物品的说明 数据有电子版和纸质版。该标准还提供了有关 电子存储介质的安全处置。
范围
本标准适用于任何包含以下内容的电子信息存储或纸质介质 敏感或机密数据被重新利用或转移到足球比赛结果之外。 本标准也适用于所有负责该项目的大学人员 清理潜在敏感信息和/或处理电子信息 存储介质。
定义
美国国家标准技术研究院 (NIST) 定义了四种方法 数据清理。这四种方法如下:
- 处置被定义为在没有其他消毒考虑的情况下丢弃介质的行为。 处置示例包括将纸张丢弃在回收容器中、删除电子设备 使用标准文件删除方法并丢弃电子存储介质的文档 在标准垃圾桶中。
- 清理被定义为使媒体无法通过正常方式读取的清理级别 意味着。清除通常是通过覆盖过程来完成的,该过程取代了 带有 0 或随机字符的实际数据。清除可防止数据被恢复 使用标准磁盘和文件恢复实用程序。
- 清除被定义为更高级的清理,使媒体无法读取 即使通过先进的实验室攻击。在传统思维中,净化包括 使用专门的实用程序重复覆盖数据;然而,随着进步 在电子存储介质中,清除和清除的定义正在趋同。 例如,清除 2001 年之后制造的硬盘仅需要一次覆盖。 就本指南而言,清算和清除将被视为相同。 消磁也是一种可接受的清除电子存储介质的方法;然而, 这通常会导致媒体在将来无法使用。
- 摧毁定义为渲染媒体不可用。破坏技术包括但不包括 仅限于分解、焚烧、粉碎、切碎和熔化。这个 是单次写入存储介质(例如 CD 或 DVD)的常见清理方法 其他消毒方法对此无效。这也是一种常见的做法 永久丢弃硬盘时。
- 电子存储介质被定义为任何可用于存储数据的电子设备。这包括 但不限于内部和外部硬盘驱动器、CD、DVD、软盘、 USB 驱动器、ZIP 磁盘、磁带和 SD 卡。
- 非公开信息定义为分类为机密(第一级)或内部/私人的任何信息 (第二级)根据信息安全计划。
监管要求
《家庭教育权利和隐私法案》(FERPA)、《格雷姆-里奇-比利雷法案》 (GLBA)、1996 年健康保险流通和责任法案 (HIPAA),以及 支付卡行业数据安全标准 (PCI DSS) 需要正式文档 处理程序,以确保特定类型的信息得到适当的清理 在被丢弃之前。指南 以下是有关何时数据的建议 应该进行消毒:
- 业务不再需要时应将所有纸质介质丢弃 使用,前提是该处置不与大学数据保留政策相冲突 或任何监管要求。应针对保留要求提出问题 向适当的数据所有者发送。
- 所有不再需要的电子存储介质都应进行消毒 商业用途,前提是清理不与大学数据冲突 保留政策或任何监管要求。关于保留要求的问题 应针对适当的数据所有者。
- 所有电子存储介质应在出售、捐赠或转让之前进行消毒 所有权。所有权转让可能包括将媒体转让给以下人员: 您的部门扮演不同的角色,将媒体交给另一个部门, 或作为租赁协议的一部分更换媒体。
- 建议采取以下措施对纸质介质进行消毒和处置:
- 应使用交叉粉碎来清除和清除纸质介质。
- 应利用第三方文档销毁服务来销毁纸质文件 媒体。应要求提供销毁证明,作为证明文件的证据 已被销毁,并保留以供将来参考。
- 建议采取以下措施对电子存储器进行消毒和处置
媒体:
- 交叉粉碎应用于销毁不可写入的 CD、DVD 和软盘。
- 第三方保修或维修合同妨碍适当消毒的情况 应联系电子存储介质的 IT 部门以获得进一步的指导。
数据删除和销毁管理
维护管理数据销毁过程的有效方法非常重要。 这可确保正确组织所有需要清洁或销毁的介质 并经过适当审核。请联系 IT 部门获取进一步说明。
所有敏感数据的所有销毁/处置的记录应永久保留。 日志应包含销毁或清除证明部分;这些提供 保证媒体销毁或消毒的证据以及日期 发生了破坏。
文档结束。
修订版 2016 年 9 月 20 日