存儲(chǔ)介質(zhì)數(shù)據(jù)銷毀安全要求和測(cè)試方法-征集

3存儲(chǔ)介質(zhì)數(shù)據(jù)銷毀安全要求和測(cè)試方法包括但不限于數(shù)據(jù)銷毀服務(wù)和設(shè)備的提供商、用戶、測(cè)評(píng)機(jī)構(gòu)和監(jiān)管下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)銷毀destruction數(shù)據(jù)銷毀DataDestruction將數(shù)據(jù)及數(shù)據(jù)存儲(chǔ)媒體通過(guò)相應(yīng)的操作手段，使數(shù)據(jù)徹底刪除且無(wú)法通過(guò)任何技術(shù)手段恢復(fù)的過(guò)數(shù)據(jù)銷毀安全Datadestructionsecur范通過(guò)對(duì)存儲(chǔ)介質(zhì)中的內(nèi)容進(jìn)行恢復(fù)而導(dǎo)致的數(shù)CDCompactDisc4CD-ROMCompactDiskReadOnlyMemoryEEPROMElectricallyDRAMDynamicRandomAccessMemory動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器DVDDigitalVideoDiscNVMNon-VolatileMemoryNVMeNon-VolatileMemoryexpress非易失性內(nèi)存主機(jī)控制器接口PROMProgrammableRed-OnlyMemory可編程只讀存儲(chǔ)器RAMRandomAccessMemory隨機(jī)存取存儲(chǔ)器ROMRead-OnlyMemorySCSIUSBUniversalSerialBus4概述存儲(chǔ)介質(zhì)數(shù)據(jù)銷毀安全要求和測(cè)試方法的制定是為了落實(shí)政策法規(guī)和國(guó)家標(biāo)準(zhǔn)等關(guān)于數(shù)據(jù)銷毀的5.1數(shù)據(jù)存儲(chǔ)介質(zhì)類型5.2數(shù)據(jù)銷毀啟動(dòng)條件b)個(gè)人、組織依據(jù)法律規(guī)定、合同約定等請(qǐng)求銷毀的；5.3數(shù)據(jù)銷毀場(chǎng)景5.4數(shù)據(jù)銷毀方式55.5數(shù)據(jù)銷毀原則據(jù)及其蘊(yùn)含信息的有效清除，以防范通過(guò)對(duì)存儲(chǔ)介質(zhì)中的內(nèi)容進(jìn)行恢復(fù)而導(dǎo)致的數(shù)據(jù)或信息6b)應(yīng)設(shè)置數(shù)據(jù)銷毀監(jiān)督角色，監(jiān)督數(shù)據(jù)銷毀過(guò)程。）；令輸入嘗試次數(shù)，對(duì)口令遺忘的申請(qǐng)和重置流程實(shí)施嚴(yán)格管b)數(shù)據(jù)銷毀后應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分7照GB/T35273-2020中第10.2章節(jié)要求進(jìn)行告知。事件處置完成后立即開(kāi)展事件調(diào)查、問(wèn)題整.覆寫(xiě)1:整盤寫(xiě)入00.覆寫(xiě)2:整盤寫(xiě)入FF.覆寫(xiě)3:整盤按隨機(jī)數(shù)覆寫(xiě).覆寫(xiě)4:整盤寫(xiě)入00.覆寫(xiě)5:整盤寫(xiě)入00.覆寫(xiě)6:整盤寫(xiě)入FF.覆寫(xiě)7:整盤按與覆寫(xiě)3不同模式的隨機(jī)數(shù)覆寫(xiě)對(duì)于磁盤系統(tǒng)部分?jǐn)?shù)據(jù)軟銷毀方法應(yīng)滿足如下要求：首先應(yīng)取得待銷毀的目標(biāo)數(shù)據(jù)存儲(chǔ)的目標(biāo)可執(zhí)行1次或多次覆寫(xiě)，并確保正確寫(xiě)入和讀取?？梢詤⒖家韵屡e例順序或隨機(jī)選取覆.覆寫(xiě)1:逐地址寫(xiě)入00.覆寫(xiě)2:逐地址寫(xiě)入FF.覆寫(xiě)3:逐地址按隨機(jī)數(shù)覆寫(xiě).覆寫(xiě)4:逐地址寫(xiě)入00.覆寫(xiě)5:逐地址寫(xiě)入00.覆寫(xiě)6:逐地址寫(xiě)入FF.覆寫(xiě)7:逐地址按與覆寫(xiě)3不同模式的隨機(jī)數(shù)覆寫(xiě)在啟動(dòng)運(yùn)行的狀態(tài)下，其磁密閉箱內(nèi)的所有任何區(qū)域內(nèi)的磁場(chǎng)強(qiáng)度等于或大于30,0008寫(xiě)入和讀取?？梢詤⒖家韵屡e例順序或隨機(jī)選取覆寫(xiě).覆寫(xiě)1:整盤寫(xiě)入00.覆寫(xiě)2:整盤寫(xiě)入FF.覆寫(xiě)3:整盤按隨機(jī)數(shù)覆寫(xiě).覆寫(xiě)4:整盤寫(xiě)入00.覆寫(xiě)5:整盤寫(xiě)入00.覆寫(xiě)6:整盤寫(xiě)入FF.覆寫(xiě)7:整盤按與覆寫(xiě)3不同模式的隨機(jī)數(shù)覆寫(xiě)或多次覆寫(xiě)，并確保正確寫(xiě)入和讀取。考慮行NVMExpressFormat命令9數(shù)據(jù)銷毀工具/系統(tǒng)/平臺(tái)/產(chǎn)品的自身安全性和具備的系統(tǒng)管理功能對(duì)數(shù)據(jù)銷毀的實(shí)施與結(jié)果具有b)應(yīng)建立合理的賬號(hào)權(quán)限開(kāi)通審批流程，并記錄審批流程和結(jié)果。b)應(yīng)留存數(shù)據(jù)銷毀設(shè)備使用和銷毀記錄。e）應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)規(guī)要求，是否具備使用相應(yīng)的數(shù)據(jù)銷毀技術(shù)、介質(zhì)銷毀工2）數(shù)據(jù)銷毀人員具備數(shù)據(jù)銷毀相關(guān)能力證書(shū)或通過(guò)企業(yè)數(shù)據(jù)銷毀相關(guān)能力考?xì)Я鞒毯图夹g(shù)要求等，明確數(shù)據(jù)銷毀審批機(jī)制，是否明確各類存儲(chǔ)介質(zhì)銷毀處銷毀方信息、銷毀數(shù)據(jù)（及介質(zhì)）的信息、銷毀記錄、校2）查驗(yàn)企業(yè)是否建立并定期更新數(shù)據(jù)銷毀處理驗(yàn)證企業(yè)數(shù)據(jù)銷毀處理活動(dòng)賬號(hào)權(quán)限開(kāi)通審驗(yàn)證企業(yè)數(shù)據(jù)銷毀處理活動(dòng)賬號(hào)權(quán)限分配情況和訪問(wèn)控制合理的權(quán)限，測(cè)試驗(yàn)證數(shù)據(jù)銷毀處理設(shè)備是否不存在賬號(hào)超出分配表設(shè)置權(quán)限驗(yàn)證企業(yè)數(shù)據(jù)銷毀處理設(shè)備賬號(hào)鎖定策略是敗鎖定機(jī)制，對(duì)口令遺忘的申請(qǐng)和重置流程實(shí)施嚴(yán)企業(yè)已建立數(shù)據(jù)銷毀效果驗(yàn)證制度，明確銷毀驗(yàn)證流程、驗(yàn)證方式以及應(yīng)配備2）經(jīng)技術(shù)驗(yàn)證，數(shù)據(jù)銷毀后均可滿足數(shù)據(jù)完全銷毀銷毀驗(yàn)證結(jié)束時(shí)間、銷毀驗(yàn)證方法、銷毀驗(yàn)證方法/過(guò)程查驗(yàn)企業(yè)數(shù)據(jù)銷毀審計(jì)制度，是否明確審計(jì)相關(guān)執(zhí)行部門、審計(jì)對(duì)象、審計(jì)流銷毀安全審計(jì)的內(nèi)容應(yīng)包含數(shù)據(jù)銷毀權(quán)限控制、數(shù)據(jù)銷毀人員操作行為、數(shù)據(jù)包含數(shù)據(jù)銷毀權(quán)限控制、數(shù)據(jù)銷毀人員操作行為、數(shù)據(jù)銷毀效果驗(yàn)證有效性等查驗(yàn)企業(yè)數(shù)據(jù)安全應(yīng)急預(yù)案，是否充分考慮企業(yè)涉及的數(shù)據(jù)安全事件場(chǎng)景，根應(yīng)急場(chǎng)景是否包括但不限于數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)違規(guī)使用等企業(yè)已制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，充分考慮企業(yè)涉及的數(shù)據(jù)安全事件場(chǎng)景，根據(jù)事件等級(jí)明確應(yīng)急響應(yīng)責(zé)任分工、工作流程、處置措施等，并細(xì)化相關(guān)要求，應(yīng)急場(chǎng)景包括但不限于數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)違規(guī)使1）查驗(yàn)企業(yè)是否根據(jù)數(shù)據(jù)安全事件應(yīng)急響應(yīng)預(yù)案制定演練計(jì)劃并定期組織演3）企業(yè)已根據(jù)演練結(jié)果優(yōu)化本單位數(shù)據(jù)安全保護(hù)措安全事件應(yīng)急預(yù)案進(jìn)行處置，是否未遺漏應(yīng)急響應(yīng)流程，是否采取措施防止危發(fā)布與公眾有關(guān)的警示信息。企業(yè)告知內(nèi)容是否包括但不限于安全事件的內(nèi)容和影響、已采取或?qū)⒁扇〉奶幹么胧?、個(gè)人信息主體自主防范或降低風(fēng)險(xiǎn)的建議、針對(duì)個(gè)人信息主體提供的補(bǔ)救措施、個(gè)人信息保護(hù)負(fù)責(zé)人及個(gè)人信息保調(diào)查、問(wèn)題整改、責(zé)任追究，形成數(shù)據(jù)安全事件求做好應(yīng)急處置工作，并及時(shí)將個(gè)人信息安全事件相關(guān)情況以郵件、信函、電話、推送通知等方式告知受影響的個(gè)人信息主體，難以逐一告知個(gè)人信息主體限于安全事件的內(nèi)容和影響、已采取或?qū)⒁扇〉奶幹么胧?、個(gè)人信息主體自主防范或降低風(fēng)險(xiǎn)的建議、針對(duì)個(gè)人信息主體提供的補(bǔ)救措施、個(gè)人信息保護(hù)驗(yàn)證磁盤系統(tǒng)介質(zhì)，在存儲(chǔ)介質(zhì)全部數(shù)據(jù)銷毀場(chǎng)景下通過(guò)覆寫(xiě)方式進(jìn)行數(shù)據(jù)銷全“F”或其它固定數(shù)值或隨機(jī)數(shù)）。選取存儲(chǔ)單元的對(duì)所有抽樣檢測(cè)的存儲(chǔ)單元，讀出的數(shù)據(jù)均與驗(yàn)證數(shù)據(jù)（即最后一次覆寫(xiě)預(yù)定驗(yàn)證磁盤系統(tǒng)介質(zhì)，在存儲(chǔ)介質(zhì)部分?jǐn)?shù)據(jù)銷毀場(chǎng)景下通過(guò)覆寫(xiě)方式進(jìn)行數(shù)據(jù)銷全“F”或其它固定數(shù)值或隨機(jī)數(shù)）。選取存儲(chǔ)單元的對(duì)所有抽樣檢測(cè)的存儲(chǔ)單元，讀出的數(shù)據(jù)均與驗(yàn)證數(shù)據(jù)（即最后一次覆寫(xiě)預(yù)定學(xué)溶解等方法執(zhí)行數(shù)據(jù)銷毀，查驗(yàn)是否采用視頻等方式全程監(jiān)控銷毀過(guò)程，留硬盤表面的磁疇結(jié)構(gòu)已經(jīng)消失或者變得非常微弱，由此證明存儲(chǔ)已經(jīng)被完全破躍，且無(wú)明顯視場(chǎng)遮蔽。監(jiān)控記錄的時(shí)間標(biāo)記清晰、連續(xù)2）抽樣檢查銷毀后介質(zhì)形態(tài)。焚燒后的磁記錄媒體部分躍，且無(wú)明顯視場(chǎng)遮蔽。監(jiān)控記錄的時(shí)間標(biāo)記清晰、連續(xù)2）檢查銷毀后介質(zhì)形態(tài)，磁記錄媒體部分躍，且無(wú)明顯視場(chǎng)遮蔽。監(jiān)控記錄的時(shí)間標(biāo)記清晰、連續(xù)驗(yàn)證光盤類介質(zhì)通過(guò)擦寫(xiě)方式進(jìn)行數(shù)據(jù)銷毀對(duì)所有抽樣檢測(cè)的存儲(chǔ)單元，讀出的數(shù)據(jù)均與驗(yàn)證數(shù)據(jù)（即最后一次覆寫(xiě)預(yù)定對(duì)于光盤類介質(zhì)，如采用粉碎、焚燒等物理銷毀和化學(xué)溶解等方法執(zhí)行數(shù)據(jù)銷躍，且無(wú)明顯視場(chǎng)遮蔽。監(jiān)控記錄的時(shí)間標(biāo)記清晰、連續(xù)躍，且無(wú)明顯視場(chǎng)遮蔽。監(jiān)控記錄的時(shí)間標(biāo)記清晰、連續(xù)躍，且無(wú)明顯視場(chǎng)遮蔽。監(jiān)控記錄的時(shí)間標(biāo)記清晰、連續(xù)驗(yàn)證閃存類介質(zhì)通過(guò)覆寫(xiě)方式進(jìn)行數(shù)據(jù)銷毀采用抽樣方式檢測(cè)對(duì)存儲(chǔ)單元進(jìn)行讀出檢測(cè)，根據(jù)數(shù)據(jù)類型選取相當(dāng)比例的存對(duì)所有抽樣檢測(cè)的存儲(chǔ)單元，讀出的數(shù)據(jù)均與驗(yàn)證數(shù)據(jù)（即最后一次覆寫(xiě)預(yù)定采用抽樣方式檢測(cè)對(duì)存儲(chǔ)單元進(jìn)行讀出檢測(cè)，根據(jù)數(shù)據(jù)類型選取相當(dāng)比例的存儲(chǔ)單元進(jìn)行讀取，驗(yàn)證是否與預(yù)期的效果一致（即所有讀取單元的內(nèi)容均為全毀時(shí)，對(duì)于板卡上的內(nèi)置存儲(chǔ)芯片，如能夠具體識(shí)別存儲(chǔ)芯片，拆除后予以銷躍，且無(wú)明顯視場(chǎng)遮蔽。監(jiān)控記錄的時(shí)間標(biāo)記清晰、連續(xù)躍，且無(wú)明顯視場(chǎng)遮蔽。監(jiān)控記錄的時(shí)間標(biāo)記清晰、連續(xù)驗(yàn)證數(shù)據(jù)銷毀設(shè)備的用戶賬號(hào)管理功能、賬號(hào)身份唯一性2）用戶操作日志包括操作時(shí)間、操作主體、操作對(duì)象、數(shù)據(jù)銷毀設(shè)備具備系統(tǒng)運(yùn)行監(jiān)測(cè)功能，可查看和監(jiān)控?cái)?shù)據(jù)銷毀設(shè)備各功能模塊查看產(chǎn)品說(shuō)明文檔有關(guān)