R2 Anleitung & Wissensdatenbank
Anleitung zur Entwicklung eines R2v3-Datenbereinigungsplans
Berücksichtigen Sie bei der Entwicklung Ihres Datenbereinigungsplans jeden der Schritte und Schlüsselfragen unten, um Sie durch den Prozess zu führen und die Entwicklung eines umfassenden Plans sicherzustellen. Beachten Sie, dass sich jeder Abschnitt auf eine bestimmte Anforderung im R2v3-Standard bezieht, aber die Anforderungen unten nicht in der gleichen Reihenfolge aufgeführt sind, wie sie im Standard erscheinen, da sie in einer Weise geordnet wurden, um Ihre Planentwicklung besser zu erleichtern.
Beachten Sie für jeden Abschnitt im Detail, wie die Fragen und Beispiele speziell auf den Betrieb Ihrer Einrichtung zutreffen. Geben Sie alle zugehörigen Ressourcen an, die erforderlich sind, um die R2-Anforderung zu implementieren oder die Konformität mit ihr oder dem Plan nachzuweisen. Zu den Ressourcen können Verfahren, Arbeitsanweisungen, Checklisten und Formulare (vorhanden oder zu entwickeln) gehören, die die Datensicherheits- und Bereinigungsprozesse unterstützen. Die bereitgestellten Beispielnotizen zeigen, wie Ihre Antworten erfasst werden können, aber dies sind nur Beispiele und müssen erweitert und überarbeitet werden, wenn dies für den Betrieb Ihrer Einrichtung erforderlich ist. Ihre Antworten in jedem dieser Abschnitte bilden den anfänglichen Rahmen für Ihren Datenbereinigungsplan, geben Sie also so viele Details wie möglich an. Und denken Sie daran, dass der Plan regelmäßig überprüft und überarbeitet werden muss, insbesondere wenn es Änderungen bei Prozessen, verwalteten Geräten oder anderen anwendbaren Datenanforderungen gibt.
Voraussetzungen – Vor der Entwicklung eines Datenbereinigungsplans wird dringend empfohlen, die folgenden R2-Anleitungs- und Wissensdatenbank-Ressourcen zu lesen:
Schritt Nr. 1: Identifizieren Sie die Arten von Datenspeichergeräten und die zugehörigen Daten, die von Ihrer Einrichtung verwaltet werden
| Literaturhinweis | Schlüsselfrage | Hinweise / Beispiele | ||||
|---|---|---|---|---|---|---|
| 7.(a)(1)(B) | Datum ist in R2v3 definiert als „die privaten, persönlich identifizierbaren, vertraulichen, lizenzierten oder geschützten Informationen, die auf einem elektronischen Gerät oder einer Speicherkomponente enthalten sind"
Alle Datengeräte und Medien erfordern eine sichere Verwaltung und Bereinigung. Unter Berücksichtigung aller Arten von elektronischen Geräten, Komponenten und Medien, die von Ihrer Einrichtung verwaltet werden, welche spezifischen Arten von Geräten können Daten speichern? Akzeptiert Ihre Einrichtung beispielsweise zusätzlich zu Laptops, Desktops und Servern, die allgemein als Datengeräte anerkannt sind, SSDs, tragbare Elektronik, Tablets, Smart-TVs, mobile Geräte oder andere Gegenstände, die auch Daten speichern können? Auf der Website Beispiele gemeinsamer Merkmale ausgewählter elektronischer Geräte und NIST-Richtlinien zur Medienbereinigung (Anhang A) für Beispiele verschiedener Arten von Datengeräten. |
Notieren Sie sich alle Arten von Datengeräten/Medien, die von Ihrer Einrichtung verwaltet werden. Beispielsweise:
|
||||
| 7.(a)(1)(C) | Welche Arten von Daten enthält jeder verwaltete Datengerätetyp möglicherweise, der bereinigt werden muss?
Berücksichtigen Sie Benutzerdateien und -konten; Betriebssysteme; lizenzierte Software; Benutzerprotokolle; etc. und listet alle Datentypen nach Gerät auf. Das Verständnis der Arten von Geräten und gespeicherten Daten hilft dabei, zu erkennen, was bereinigt werden muss. |
Listen Sie alle verwalteten Datengeräte und die entsprechenden zu bereinigenden Datentypen auf. Zum Beispiel:
|
||||
| 7.(a)(1)(D) | Allgemeine Hinweise ist in R2v3 definiert als „öffentlich zugängliche Informationen oder Informationen, die mit dem elektronischen Originalgerät vom Hersteller geliefert werden.“
Allgemeine Informationen erfordern keine Desinfektion unter R2v3. Welche Arten von allgemeinen Informationen enthält jeder verwaltete Datengerätetyp, der nicht bereinigt werden muss? Allgemeine Informationen können beispielsweise Treiber und Firmware umfassen; Open-Source-Software oder -Betriebssysteme; Elektronische Benutzerhandbücher; usw. |
Listen Sie alle verwalteten Datengeräte und die entsprechenden Typen allgemeiner Informationen auf, die keiner Bereinigung bedürfen. Zum Beispiel:
|
||||
| 7.(a)(1)(E) | In einigen Fällen verlassen sich Geräte möglicherweise auf Remotedienste, um Daten über verbundene Benutzerkonten zu speichern und darauf zuzugreifen.
Welche Arten von Netzwerkdiensten und anderen verbundenen Konten gibt es, die vom Gerät entfernt werden müssen? Erwägen Sie Cloud-basierte Konten und sichern Sie Speicherlaufwerke; sowie gekoppelte Geräte. |
|
Schritt Nr. 2: Definieren Sie alle Datensicherheits- und Bereinigungsanforderungen
| Literaturhinweis | Schlüsselfrage | Hinweise / Beispiele | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 7.(a)(1)(G) | Gibt es zusätzlich zu den R2-Anforderungen spezifische gesetzliche, Lieferanten- oder andere Anforderungen an die Datensicherheit oder -bereinigung, die ebenfalls berücksichtigt werden müssen?
Identifiziert der Plan zur Einhaltung gesetzlicher Vorschriften Ihrer Einrichtung eindeutig Datenbereinigungsanforderungen wie Datenschutzverletzungen und Datenschutzbestimmungen? Gibt es zusätzliche vertragliche Anforderungen von Lieferanten in Bezug auf Datensicherheit und -bereinigung? Auf der Website Beispiele gemeinsamer Merkmale ausgewählter elektronischer Geräte und NIST-Richtlinien zur Medienbereinigung (Anhang A) für Beispiele verschiedener Arten von Datengeräten. |
Listen Sie alle anderen Datensicherheits- und/oder Bereinigungsanforderungen auf. Zum Beispiel:
|
||||||||
| 7.(a)(1)(H) | Gibt es für jede der identifizierten zusätzlichen gesetzlichen, Lieferanten- oder sonstigen Anforderungen einen klaren Link dazu, wo sie in den schriftlichen Richtlinien und Verfahren Ihrer Einrichtung behandelt werden?
Wenn es zum Beispiel Anforderungen für ein erhöhtes Sicherheitsniveau oder eine bestimmte Bereinigungsmethode gibt, sind die Anforderungen in der schriftlichen Dokumentation Ihrer Einrichtung klar identifiziert und definiert? |
|
||||||||
| 7.(a)(1)(J) | Wurden bestimmte Zeitrahmen für die Durchführung der Desinfektion festgelegt?
Überlegen Sie, ob es gesetzliche oder Lieferantenanforderungen gibt, die den maximalen Zeitraum vom Zeitpunkt des Eingangs bis zur Desinfektion vorschreiben. Berücksichtigen Sie bei der Festlegung des Bereinigungszeitraums auch die Sensibilität der verwalteten Daten und die Risiken im Zusammenhang mit einer potenziellen Datenschutzverletzung. |
|
||||||||
| 7.(a)(1)(F) | Wurde mit einem Kunden eine vertragliche Vereinbarung entwickelt und umgesetzt, die verlangt, dass seine Daten nicht bereinigt werden? |
|
Schritt Nr. 3: Richten Sie die Datenbereinigungsprozesse und -verfahren ein
| Literaturhinweis | Schlüsselfrage | Hinweise / Beispiele | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 7.(a)(1)(I) | Wurden unter Berücksichtigung aller Arten von verwalteten Datengeräten und der geltenden Anforderungen an die Bereinigung definierte Bereinigungsmethoden für jeden Geräte- und Medientyp identifiziert?
Stimmen die definierten Bereinigungsmethoden mit einer der in Core 7.(c)(2) definierten Bereinigungsoptionen überein? Beschreiben die Prozesse für Geräte, die logisch bereinigt werden, die genehmigte Methode der Bereinigung, wenn die logische Bereinigung nicht erfolgreich ist? |
Identifizieren Sie die genehmigte Bereinigungsmethode für jedes verwaltete Datengerät. Beispielsweise:
|
||||||||
| 7.(a)(1)(I) | Gibt es für Datenbereinigungsaktivitäten, die intern durchgeführt werden, Datenbereinigungsverfahren oder Arbeitsanweisungen, um den genehmigten Prozess und die Schritte zur Bereinigung jedes Gerätetyps zu definieren? | Definieren Sie den Prozess und das Verfahren für die Handhabung und Desinfektion jedes Gerätetyps eindeutig. | ||||||||
| 7.(a)(1)(K) | Müssen DSVs physische oder logische Bereinigungen durchführen?
Wenn ja, wurden die DSVs gemäß Anhang A (7) oder (8) qualifiziert? Gibt es Nachweise dafür, dass der DSV den Anforderungen des Datenbereinigungsplans entspricht? |
|
||||||||
| 7.(a)(1)(L) | Wurden das beabsichtigte Ergebnis oder die beabsichtigten Ergebnisse des Desinfektionsprozesses klar definiert, damit die Wirksamkeit des Prozesses überprüft werden kann?
Wurde der Verifizierungsprozess definiert? Werden Aufzeichnungen geführt, um eine wirksame Desinfektion nachzuweisen? |
Identifizieren Sie für jedes Datengerät die genehmigte Bereinigungsmethode sowie die Methode zur Überprüfung des Erfolgs des Prozesses und die Aufzeichnungen, die zum Nachweis der Bereinigungs- und Überprüfungsaktivitäten verwendet werden. Zum Beispiel:
|
Schritt Nr. 4: Richten Sie Sicherheitskontrollen ein
| Literaturhinweis | Schlüsselfrage | Hinweise / Beispiele |
|---|---|---|
| 7.(a)(1)(A) | Wurden in Anbetracht der Art der verwalteten Datengeräte, des Sensibilitätsgrads der zugehörigen Daten und anderer spezifischer Datensicherheitsanforderungen angemessene Sicherheitskontrollen entwickelt, um die Geräte und Daten zu schützen?
Wurden dedizierte gesicherte Bereiche für Datenbereinigungsaktivitäten mit eingeschränktem Zugang eingerichtet? Überlegen Sie, ob Sie einzelne Bereiche für Desinfektionsaktivitäten oder die gesamte Einrichtung sichern möchten. Berücksichtigen Sie auch die Arten der erforderlichen Sicherheitskontrollen, wie z. B.:
Prozesskontrollen, einschließlich Sicherheitsschulung und -bewusstsein; Zugangsberechtigungen; Sicherheitsüberwachung; Materialhandhabungsverfahren; usw. |
Zeigen Sie deutlich, wo alle Sicherheitskontrollen von 7.(b) angesprochen werden. Zum Beispiel:
Kontrollen der Gebäudesicherheit:
Kontrollen des Desinfektionsbereichs:
Prozesskontrollen:
|
| 7.(a)(1)(M) | Gibt es ein Verfahren zur Definition und Bereitstellung von Sicherheitsberechtigungen für alle Personen, die auf Bereiche mit Daten zugreifen, die Geräte und Komponenten enthalten?
Wendet sich der Prozess an Arbeiter, Besucher und andere Personen, die möglicherweise in Ihrer Einrichtung anwesend sind, wie z. B. Auftragnehmer? Gibt es Prozesse zur Überwachung derer, die auf die gesicherten Datenbereiche zugreifen? |
Eindeutig identifizieren:
|
| 7.(a)(2) | Wurde eine Datensicherheitsrichtlinie dokumentiert, um die Verantwortlichkeiten, Befugnisse und Einschränkungen in Bezug auf Datensicherheit und -bereinigung zu identifizieren?
Wurde der Datenschutzbeauftragte identifiziert? Wurden Verfahren zur Meldung und Reaktion von Vorfällen definiert? |
Eindeutig identifizieren:
|
Schritt Nr. 5: Entwickeln Sie gegebenenfalls zusätzliche Datenkontrollen in Bezug auf Prozesse in Anhang B
| Literaturhinweis | Schlüsselfrage | Hinweise / Beispiele |
|---|---|---|
| B (1) (a) | Wurden Methoden entwickelt, um bereinigte Geräte von solchen zu identifizieren und zu unterscheiden, die Daten enthalten? | Identifizieren Sie eindeutig alle Geräteverfolgungen, Kennzeichnungen, separaten physischen Lagerbereiche und andere Kontrollen, die zur Trennung und Unterscheidung bereinigter Geräte verwendet werden. |
| B (1)(b) | Wurden Qualitätskontrollen definiert, um die Wirksamkeit der Datenbereinigungsprozesse zu bewerten und zu überprüfen?
Werden laufend Qualitätskontrollen durchgeführt? Gibt es ein Verfahren, um Lieferanten über Verarbeitungsabweichungen zu informieren? Gibt es einen alternativen Prozess zum Verwalten von Geräten, bei denen die Datenbereinigung nicht verifiziert werden kann? |
Definieren Sie die Qualitätskontrollen, die zur Überprüfung der Desinfektionsprozesse verwendet werden, und zeigen Sie Folgendes auf:
Definieren Sie den Korrekturmaßnahmenprozess, um auf alle Probleme zu reagieren, die im Bereinigungsprozess identifiziert wurden. |
| B (1) (c) | Wurden Aktivitäten zur Überwachung der Aspekte des Datenbereinigungsplans definiert, um sicherzustellen, dass sie wie geplant und effektiv umgesetzt werden? | Definieren Sie die Aktivitäten, die zur Überwachung der Umsetzung des Datenbereinigungsplans verwendet werden, wie z. B.:
|
| B (1) (d) | Wurden Anforderungen an die Datenbereinigungskompetenz definiert? | Identifizieren Sie alle Kompetenzanforderungen in Bezug auf:
|
Schritt Nr. 6: Entwickeln Sie Prozesse für das Training und die Validierung der Sicherheits- und Desinfektionskontrollen
| Literaturhinweis | Schlüsselfrage | Hinweise / Beispiele |
|---|---|---|
| 7.(a)(3) | Wurden alle Mitarbeiter in den anwendbaren Datensicherheits- und Bereinigungsprozessen und -kontrollen geschult?
Werden regelmäßige Upgrade- oder Auffrischungsschulungen geplant und durchgeführt? Wie wird die Kompetenz verantwortlicher Personen nachgewiesen? |
Eindeutig identifizieren:
|
| 7.(c)(3) | Wurde ein interner Auditprozess für Datensicherheit und -bereinigung entwickelt?
Sind geschulte, kompetente und unabhängige Auditoren mit der Durchführung der Datenaudits beauftragt und dafür verantwortlich? Stellen Sie sicher, dass der Auditprozess die Konformität bewertet mit:
Kunden-, Lieferanten- und andere Anforderungen |
Eindeutig identifizieren:
|
BITTE BEACHTEN: Die Leitlinien sollen eine weitere Erläuterung der Anforderungen des R2-Standards zusammen mit Beispielen und Auditempfehlungen bieten. Dieses Dokument ist jedoch nicht prüffähig und kann nicht in Bezug auf Abweichungen zitiert werden. Die Erläuterungen sollen eine Fehlinterpretation des R2-Standards verhindern und den R2-Standard nicht ergänzen, entfernen oder modifizieren. Die angeführten Beispiele sind möglicherweise nicht die einzige Möglichkeit, eine Anforderung der Norm zu erfüllen. Obwohl bei der Erstellung dieses Dokuments mit angemessener Sorgfalt vorgegangen wurde, ERKLÄREN SERI und alle anderen an der Erstellung des Dokuments beteiligten Parteien HIERMIT, dass das Dokument ohne ausdrückliche oder stillschweigende Gewährleistung der Genauigkeit oder Zweckmäßigkeit bereitgestellt wird, UND SCHLIESSEN HIERMIT JEDES AUS Haftung, direkt oder indirekt, für Schäden oder Verluste im Zusammenhang mit der Verwendung dieses Dokuments.