几周来,我一直在寻找欧盟/英国敏感数据销毁的现行标准。
如果您查看销毁公司,他们有几个答案 BS EN: 15713:2009 出现了很多,但 DIN 66399 也是如此,有些地方将 EN 放在使其成为欧盟标准之前。最重要的是,很多地方参考了英国 HMG IA 5 标准,但它们已被取代。我能找到的最新标准是 2014 年 4 月 CPNI 标准安全销毁敏感信息。
但似乎没有什么比 FIPS 880-88r1 和 UC:SD 的 CMRR 研究更明确,但其中一些与这些相矛盾。
当前的欧盟数据销毁标准是什么?
信息安全
破坏
数据剩余
标准
2021-08-26 00:07:29
2个回答
但是,我不能 100% 确定欧盟的法律和准则是什么;我怀疑由成员国来决定关于删除个人信息的问题。话虽如此,我从英国信息专员办公室 (ICO) 找到了一份 PDF,他们在本文件中声明......
...ICO 将采取现实的方法,认识到从系统中删除信息并不总是一件简单的事情,并且可以将信息“无法使用”,并“暂停”数据保护合规问题只要有特定的保障措施
信息已被删除,数据控制者无意再次使用或访问该信息,但这些信息可能仍存在于电子以太中。例如,它可能正在等待被其他数据覆盖。
应该删除但实际上仍保存在实时系统中的信息,因为出于技术原因,如果不删除同一批次中保存的其他信息,则无法删除此信息。
除此之外,它在下一节中说明了这一点。
如果信息没有被实际删除,ICO 将对信息已“无法使用”感到满意,前提是持有该信息的数据控制者:
- 无法或不会尝试使用个人数据来告知有关任何个人的任何决定或以任何方式影响个人的方式;
- 不让任何其他组织访问个人数据;
- 以适当的技术和组织安全性围绕个人数据;和
- 承诺在可能的情况下或何时永久删除信息。
所以我怀疑他们自己不知道最好的方法,所以模糊不清。只要您努力表明您已将其删除并试图使其无法恢复,那么我想他们对此感到满意。正如您和 Graham Hill(评论)所建议的那样,我会采用行业标准,例如 BS EN:15713 或 DIN 66399。
2016 年 5 月 15 日访问
ENISA可能是你的朋友,看看 ENISA 关于在数据保留的情况下保护个人数据的报告,有一个具体的引用:
没有规范和标准来规范如何销毁数据。
连同建议:
提供关于在保留期结束时安全删除数据时必须遵循的程序的明确说明。
所以我猜现在还没有标准。