ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 6.5.3: Beste praksis for mediesikkerhet
IKT-medier – enten de er flyttbare eller statiske – som brukes til å lagre og behandle PII, blir ofte sett på som det primære smertepunktet for organisasjoner som ønsker å holde seg på rett side av sine juridiske, regulatoriske og kontraktsmessige forpliktelser.
Vanskelighetene med å administrere flyttbare medier – og PII som finnes på det – vokser eksponentielt med størrelsen på organisasjonen og antallet ansatte som har tillatelse til å bruke slike enheter.
I tillegg til operativ bruk, må lagringsmedier fjernes tilstrekkelig fra nettverket og kastes når det ikke lenger er nødvendig, og organisasjoner må sørge for at det ikke er rester av spor etter PII eller personvernrelatert informasjon før gjenbruk.
Hva dekkes av ISO 27701 klausul 6.5.3
Hver klausul i ISO 27701 omhandler konseptet PII, innenfor konteksten av lagringsmedier:
- ISO 27701 6.5.3.1 – Håndtering av flyttbare medier (Referanser ISO 27002 kontroll 7.10)
- ISO 27701 6.5.3.2 – Avhending av media (Referanser ISO 27002 kontroll 7.10)
- ISO 27701 6.5.3.3 – Fysisk medieoverføring (referanser ISO 27002 kontroll 7.10)
ISO 27701 klausul 6.5.3 er en sammenslåing av tre tidligere ISO 27002-klausuler, som nå er konsolidert i én enkelt klausul i 2022-iterasjonen – ISO 27002 7.10 (Storage Media).
Hver kontroll inneholder ytterligere PII-relatert veiledning som styrer en organisasjons tilnærming til lagringsmedier.
I tillegg inneholder hver underklausul flere veiledningspunkter som er knyttet til spesifikke artikler innenfor britisk GDPR-lovgivning.
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.5.3.1 – Håndtering av flyttbare medier
Referanser ISO 27002 Kontroll 7.10
Flyttbare lagringsmedier
Når organisasjoner utvikler retningslinjer som styrer håndteringen av medieressurser involvert i lagring av PII, bør organisasjoner:
- Utvikle unike emnespesifikke retningslinjer basert på avdelings- eller jobbbaserte krav.
- Sørg for at riktig autorisasjon søkes og gis før personell kan fjerne lagringsmedier fra nettverket (inkludert å holde en nøyaktig og oppdatert oversikt over slike aktiviteter).
- Oppbevar media i henhold til produsentens spesifikasjoner, fri for miljøskader.
- Vurder å bruke kryptering som en forutsetning for å få tilgang, eller der dette ikke er mulig, implementere ytterligere fysiske sikkerhetstiltak.
- Minimer risikoen for at PII blir ødelagt ved å overføre informasjon mellom lagringsmedier etter behov.
- Introduser PII-redundans ved å lagre beskyttet informasjon på flere eiendeler samtidig.
- Tillat kun bruk av lagringsmedier på godkjente innganger (dvs. SD-kort og USB-porter), på en eiendel for eiendel.
- Overvåk nøye overføringen av PII til lagringsmedier, uansett formål.
- Ta i betraktning risikoene som ligger i fysisk overføring av lagringsmedier (og ved fullmakt, PII-en som finnes på den), når du flytter eiendeler mellom personell eller lokaler (se ISO 27002 5.14).
Gjenbruk og avhending
Ved ombruk, gjenbruk eller kassering av lagringsmedier, bør robuste prosedyrer settes på plass for å sikre at PII ikke påvirkes på noen måte, inkludert:
- Formatere lagringsmediet, og sikre at all PII fjernes før gjenbruk (se ISO 27002 8.10), inkludert vedlikehold av tilstrekkelig dokumentasjon for alle slike aktiviteter.
- Sikker avhending av medier som organisasjonen ikke har videre bruk for, og som har blitt brukt til å lagre PII.
- Hvis avhending krever involvering av en tredjepart, bør organisasjoner være nøye med å sikre at de er en egnet og riktig partner til å utføre slike oppgaver, i tråd med organisasjonens ansvar overfor PII og personvern.
- Implementering av prosedyrer som identifiserer hvilke lagringsmedier som er tilgjengelige for gjenbruk, eller som kan kasseres tilsvarende.
Hvis enheter som har blitt brukt til å lagre PII blir skadet, bør organisasjonen vurdere nøye om det er mer hensiktsmessig å ødelegge slike medier, eller sende det til reparasjon (feil på siden av førstnevnte).
Ytterligere PII-relatert veiledning
ISO advarer organisasjoner mot å bruke ukrypterte lagringsenheter for PII-relaterte aktiviteter.
Relevante ISO 27002 kontroller
- ISO 27002 kontroll 5.14
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
- Artikkel 32 – (1)(a)
ISO 27701 klausul 6.5.3.2 – Avhending av media
Referanser ISO 27002 Kontroll 7.10
Se ISO 27701 klausul 6.5.3.1.
Ytterligere PII-relatert veiledning
Hvis media skal avhendes tidligere holdt PII, bør organisasjoner implementere prosedyrer som dokumenterer ødeleggelsen av PII og personvernrelaterte data, inkludert kategoriske forsikringer om at de ikke lenger er tilgjengelige.
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.5.3.3 – Fysisk medieoverføring
Referanser ISO 27002 Kontroll 7.10
Se ISO 27701 klausul 6.5.3.1.
Ytterligere PII-relatert veiledning
Organisasjoner bør være ekstra forsiktige når de transporterer lagringsmedier som inneholder PII, til forskjell fra standard datakategorier.
Det bør oppbevares journal over alle innkommende og utgående medier som inneholder PII, inkludert:
- Medietype (HDD, USB, SD-kort osv.).
- Autoriserte avsendere og interne mottakere.
- Dato og tidspunkt for overføring.
- Mengden fysiske medier som skal overføres.
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
- Artikkel 32 – (1)(a)
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.5.3.1 | Håndtering av flyttbare medier | 7.10 – Lagringsmedier for ISO 27002 | Artikler (5), (32) |
| 6.5.3.2 | Avhending av media | 7.10 – Lagringsmedier for ISO 27002 | Artikkel (5) |
| 6.5.3.3 | Fysisk medieoverføring | 7.10 – Lagringsmedier for ISO 27002 | Artikler (5), (32) |
Hvordan ISMS.online hjelper
ISMS.online gjør personlig informasjonsadministrasjon enkel gjennom en flott skybasert løsning for å støtte ISO 27701-samsvar i organisasjonen din.
På toppen av dette har vi informasjonssikkerhetseksperter og ressurser tilgjengelig for å veilede deg gjennom ISO 27701-akkrediteringsprosessen.
Finn ut mer og få en praktisk demonstrasjon av bestille en demo.
