R2 Anleitung & Wissensdatenbank
„Verifizieren“ versus „Validieren“
F. Bedeuten „Validieren“ und „Verifizieren“ in R2v3 dasselbe?
In R2v3 beziehen sich diese Begriffe jeweils auf unterschiedliche Aktionen und R2-Anforderungen.
VALIDIEREN — Kernanforderung 7 – Datensicherheit, erforderlich Validierungsprüfungen der Datenbereinigungsprozesse einer Einrichtung:
Kern 7 (c)(3) Interne Datensicherheits- und -bereinigungsprüfungen müssen mindestens einmal jährlich von einem kompetenten und unabhängigen Prüfer durchgeführt werden Validierung der Datenbereinigungsprozesse wirksam sind und dem R2-Standard, den gesetzlichen Anforderungen und dem Datenbereinigungsplan entsprechen.
Diese Validierungsanforderung konzentriert sich auf die Prozessdefinierung selbst. Entspricht beispielsweise der Datenbereinigungsprozess der Einrichtung den R2-Anforderungen? Entspricht der Prozess den geltenden gesetzlichen Anforderungen? Entspricht der Prozess dem eigenen Datenbereinigungsplan der Einrichtung? Wurde der Prozess so konzipiert, dass er alle damit verbundenen Anforderungen erfüllt, und wurde er wie geplant gemäß den definierten Verfahren durchgeführt?
VERIFIZIEREN - Neben der Validierung des Prozesses müssen auch die Einrichtungen überprüfen die Ergebnisse , Wirksamkeit des Datenbereinigungsprozesses:
Kern 7 (c)(2)(B) Vernichten Sie die Datenspeichermedien physisch gemäß einer anwendbaren Methode, die in Anhang A der NIST-Richtlinien zur Medienbereinigung definiert ist: Sonderveröffentlichung 800-88 (Rev. 1), und überprüfen Zerstörung nach einem definierten Prozess 100% demonstrieren Wirksamkeit des Zerstörungsprozesses,
Anlage B (1)(b) Dokumentierte Qualitätskontrollen zur Beurteilung und Wirksamkeit überprüfen der Datenbereinigungsprozesse laufend
Diese Überprüfungsanforderungen konzentrieren sich auf effektive Ergebnisse. War der Vorgang beispielsweise erfolgreich und wurden alle Daten wie vorgesehen von den Geräten entfernt? Hat der Prozess zum beabsichtigten Ergebnis geführt?
Diese beiden Schritte – Validierung und Verifizierung – arbeiten zusammen, um sicherzustellen, dass Daten erfolgreich bereinigt werden, oder, wenn die Bereinigung nicht bestätigt werden kann, dass die Datenspeichergeräte physisch zerstört werden.