Lieferantenbestätigungsanforderungen in Core 7 – Datensicherheit

F: Gemäß Kernanforderung 7.(c)(1) muss eine R2-Einrichtung bestimmte Details mit einem Lieferanten bestätigen, wenn sie Geräte oder Komponenten erhält, die Daten enthalten können. Aber was ist, wenn nicht bekannt ist, ob Geräte Daten enthalten oder ob sich sogar Datengeräte in einer Ladung befinden?

Es ist wichtig zu beachten, dass die Lieferantenbestätigung für den Erhalt von allem erforderlich ist, was „kann" Daten enthalten. Und gemäß Kernanforderung 6.(b)(2) müssen alle Geräte und Komponenten als verwaltet werden R2 kontrollierter Stream* und behandelt als Vordesinfektion* bis das Gegenteil bewiesen werden kann. Dies bedeutet, dass eine R2-Einrichtung, sofern sie nicht verifizieren kann, dass die eingehenden Geräte oder Materialien keine Daten enthalten, die erforderlichen Benachrichtigungen bereitstellen sollte, damit der Lieferant weiß, dass die Artikel eingegangen sind, und darüber informiert wird, wie Datengeräte bereinigt werden .
*Weitere Informationen zu R2 Controlled Streams und Pre-Sanitization-Kategorien finden Sie unter REC-Schulungsvideo auf unserem YouTube-Kanal.

F: Welche Arten von Aufzeichnungen könnten verwendet werden, um Lieferantenbestätigungen gemäß Core 7.(c)(1) bereitzustellen?

Kern 7.(c)(1) besteht aus drei eindeutigen Teilen, sodass die Aufzeichnungen, die zur Bestätigung der verschiedenen Aktivitäten mit dem Lieferanten verwendet werden, unterschiedlich sein können.

Erstens In Core 7.(c)(1)(A) muss die R2-Einrichtung über eine Methode verfügen, um den Empfang von Geräten oder Komponenten zu bestätigen, die Daten enthalten können. Dadurch wird dem Lieferanten mitgeteilt, dass die Ausrüstung bei der Einrichtung eingegangen ist. R2-Einrichtungen können einen Prozess haben, um Lieferanten nach Erhalt einer Sendung eine E-Mail zu senden oder Kopien von Transportunterlagen bereitzustellen oder Unterlagen zu erhalten.

Zweitens In Core 7.(c)(1)(B) muss die R2-Einrichtung die Methode zur Desinfektion von Geräten bestätigen. Methoden können sein:

• • Eine logische Bereinigungsmethode gemäß einem nach Anhang B zertifizierten Prozess;
  • Eine physische Vernichtungsmethode gemäß einem in Anhang B zertifizierten Prozess; oder
  • Eine physische Zerstörungsmethode gemäß NIST 800-88 Anhang A.

Die Bestätigung der Datenbereinigungsmethode kann in derselben Mitteilung bereitgestellt werden, die in Core 7.(c)(1)(A) implementiert ist, oder eine andere Option könnte darin bestehen, sie in einen Vertrag oder eine andere Verarbeitungsvereinbarung aufzunehmen. Im Falle einer Sammelveranstaltung oder ähnlichem kann die R2-Einrichtung auch eine Form der allgemeinen Bekanntmachung wie Beschilderung und Broschüren verwenden, um die erforderlichen Informationen zu kommunizieren.

Schließlich In Core 7.(c)(1)(C) muss die R2-Einrichtung bestätigen, ob die Bereinigung intern durch die R2-Einrichtung oder extern unter Verwendung eines nachgelagerten Anbieters durchgeführt wird. Auch diese Bestätigung könnte in jedem der oben beschriebenen Verfahren enthalten sein.

Anmerkungen:  Diese drei Benachrichtigungsanforderungen sollten nicht mit Core 7.(a)(1)(L) verwechselt werden, wo die R2-Einrichtung verpflichtet ist, spezifische Desinfektionsaufzeichnungen für die verarbeiteten Geräte und Komponenten zu führen.

F: Gibt es einen bestimmten Zeitrahmen für die Bereitstellung der Bestätigungen für Lieferanten gemäß Core 7.(c)(1)?

Nein, es gibt keinen ausdrücklich angegebenen Benachrichtigungszeitraum, aber es wird erwartet, dass die Lieferanten so schnell wie möglich benachrichtigt werden.