Rekommenderad policy för dataradering och hantering av it-utrustning



Relevanta dokument
Riktlinjer för Informationssäkerhet

Tech Data Recycling Center

RUTIN FÖR ATT FÖREBYGGA IT-AVFALL OCH MINSKA MILJÖPÅVERKAN

Vilka är Ibas Kroll Ontrack? Räddning av brända hårddiskar Oförutsedda utgifter Norrmän i rymddräkt

IT-GUIDE Version 1.0 Författare: Juha Söderqvist

Intern IT Policy fo r Riksfo rbundet Hjä rtlung

Åklagarmyndighetens författningssamling

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Handledning i informationssäkerhet Version 2.0

IT-säkerhetsinstruktion

Bilaga 3 Säkerhet Dnr: /

IDE USB kabel Windows XP, Vista 7 löäzxcvbnmqwertyuiopåasdfghjklöäz [Version 1.4, ]

IT-regler Användare BAS BAS-säkerhet Gislaveds kommun

Säker hantering av mobila enheter och portabla lagringsmedia

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Rekryteringsmyndighetens interna bestämmelser

Grundläggande datorkunskap

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Säkerhetskopiering en försummad rutin

Informationssäkerhetsinstruktion: Användare

Policy för användande av IT

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS

Konkurrensverkets platsundersökningar

Informationssäkerhet

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Säkerhetskopiering och återställning Användarhandbok

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Installation och aktivering av Windows 7

More than leasing. CIO + CFO Peter Onstrand

Användarhandbok. Nero BackItUp. Ahead Software AG

Dell Tjänstebeskrivning

Bilaga 1 - Handledning i informationssäkerhet

ATT FRAMSTÄLLA OCH LAGRA ELEKTRONISKA HANDLINGAR

ATT FRAMSTÄLLA OCH LAGRA ELEKTRONISKA HANDLINGAR. en handledning för myndigheter i Västra Götalandsregionen och Göteborgs Stad

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Informationssäkerhetspolicy

NOKIAS BEGRÄNSADE TILLVERKARGARANTI FÖR NOKIA MED WINDOWS-TELEFON

U SB M I N I ADAPTE R BLUETOOTH

Regler för användning av Riksbankens ITresurser

Rekommenderad felsökning av dator innan service

Mac OS X 10.6 Snow Leopard Installationshandbok

TOSHIBA LANSERAR NÄSTA GENERATION FÖRETAGSHÅRDDISKAR MED 4 TB

Bilaga 5 Produktöversikt Dnr: /

MILJÖLEDNINGSSYSEM MORA DATORER AB

Manual. Kontering av IT-kostnader

IT-riktlinje för elever

Riktlinjer inom ITområdet

1.499:- Exkl moms. HÅLLBARA IT-KÖP MED KONKRETA MILJÖVINSTER

Säkerhetskopiering och återställning Användarhandbok

Spårbarhet i digitala system. Biografi. Spårbarhet. Osynlig övervakning och de spår vi lämnar efter oss

Informations- säkerhet

Filleveranser till VINN och KRITA

Bilder Innehåll: Inledning Minneskort Ansluta kamera eller minneskort Föra över bilder, ett sätt Föra över bilder, ett a nnat sätt

Boot Camp Installationshandbok

Välkommen till Capture.

Riktlinjer för informationssäkerhet

Datorn från grunden. En enkel introduktion. Innehåll: Inledning 1 Vad är en dator? 2 Datorns olika delar 3 Starta datorn 5 Stänga av datorn 7

H A R D D I S K A D A P T E R I D E / S A T A T O U S B 3. 0 O N E T O U C H B A C K U P

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Synpunkter på förslaget Nationellt avfallsförebyggande program, ärendenummer NV

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Fillagringsplatser. Fillagringsplatser (information om fillagringsplatserna du har att tillgå på Konstfack) Inledning... 12

Uppdaterad Dataskyddspolicy

HUR MAN LYCKAS MED BYOD

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat för tillverkning av digitala färdskrivare;

Riktlinjer för utskrift

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Moment 6: E-arkivet och våra verksamhetssystem

Strategi Program Plan Policy» Riktlinjer Regler

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

DIG IN TO Dator och nätverksteknik

Stadsarkivets anvisningar 2011:1 Hantering av allmänna e-handlingar som ska bevaras i Uppsala kommun

Externa mediekort. Dokumentartikelnummer: I den här handboken beskrivs hur du använder externa mediekort. Maj 2006

SNABBGUIDE FÖR MODEM OPTIONS FOR NOKIA 7650

Regler för användning av Oskarshamns kommuns IT-system

GDPR. General Data Protection Regulation

Kopiera musik och program till hårddisken och skicka sedan skivorna på semester i förrådet. Spara skivorna

Användarmanual Elevdator

MILJÖLEDNINGSSYSTEM. Bröderna Näslund Byggare AB Januari 2008

Riktlinjer för informationsklassning

Bilaga A Checklista vid leverantörsbedömning SIDA 1AV 11

Informationssäkerhetsinstruktion användare

Sammanfattning av undersökning: Hållbarhetsstrategier för mobila enheter ger avsevärda besparingar för företag.

Datagrund Vista. Grundläggande filhantering

4. Skrivmaterial och informationslagring. Innehållsförteckning ARKIVHANDBOK Landstingsarkivet

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare;

B r u k s a n v i s n i n g A I

Henrik Asp. Allt du behöver veta för att KÖPA DATOR

Hantera och ladda minneskort i TPB katalogen.

Egenkontrollprogram för handel med vissa receptfria läkemedel

Toshiba EasyGuard i praktiken: tecra a5

Överenskommelse mellan elev och skola om hemlån av digital enhet

IT-Policy. Tritech Technology AB

PCKeeper. Human Inside

Revisionsfrågor HSA och SITHS 2016

Pentium Core 2 Duo T GHz. 80GB Hårddisk 15.1 TFT DVD-RW Ljudkort/Högtalare Nätverkskort WLAN/USB/ IR 56K modem Windows XP Pro licens 3.

Transkript:

Rekommenderad policy för dataradering och hantering av it-utrustning

Syftet med policyn för organisationen där den tillämpas Att säkerställa att information och data skyddas från obehörig åtkomst när teknisk utrustning eller datamedier återanvänds inom ORGANISATIONEN, kasseras (livscykelavslut) eller på andra sätt placeras utom organisationens eller valda partners fysiska kontroll. En vald partner kan till exempel vara ett leasingföretag som äger utrustningen, en outsourcingpartner som äger och/ eller hanterar utrustningen eller ett professionellt ITAD-företag (IT Asset Disposal) som anlitas av organisationen. Målet med policyn och de fastställda säkerhetsprinciperna är också att förbättra våra processer för att främja återanvändning av utrustning inom eller utanför organisationen. Organisationens mål är att förlänga utrustningens livstid genom att skapa förutsättningar att återanvända den helt eller delvis, för att på bästa sätt minimera utrustningens inverkan på miljön. Målgrupp för policyn är It-chef, miljöchef, säkerhetschef, it-avdelning, inköpsfunktion, funktioner för administrationssupport samt enhets chef. Det här dokumentet ska användas som referens för att införa och använda miljövänliga metoder för hantering av teknisk utrustning och säker radering av organisationens information på utrustningen. Följande fakta från en FN-rapport är exempel på information som stöder vår policy och ståndpunkt: Under hela livstiden för en dator står själva tillverkningen för den största energiförbrukningen (81 %), medan en mindre andel (19 %) går åt för användning av den färdiga produkten. Datortillverkning är mycket energikrävande: förhållandet använt fossilt bränsle/produktvikt är 11:1. Det går åt 1,8 ton material för att tillverka en stationär dator och en skärm. Sammanfattning av föreslagen policy All teknisk utrustning ska hanteras med miljömässigt hållbara metoder i en process som uppfyller lagstiftning, regler och exportprinciper samt minimerar teknikutrustningens inverkan på miljön. Alla typer av företagsdata på teknisk utrustning som har kapacitet för lagring eller bearbetning av information, måste raderas enligt en säker process och med certifierade och godkända dataraderingsprogram, innan utrustningen flyttas. Processen ska innefatta moment för fullständig dokumentation och spårbarhet. Det ska till exempel vara möjligt att bevisa att data på en viss hårddisk har raderats. Exempel på utrustning med känslig data: Datorer, servrar, lösa hårddiskar, kopiatorer, nätverksskrivare, nätverksfaxar, kassautrustning, mobiltelefoner Mobila minnesenheter (t.ex. USB-minnen, SD-kort, externa hårddiskar) Lagringsmedia (t. ex. cd-skivor, dvd-skivor, säkerhetskopieringsband) Exempel på annan teknisk utrustning: Bildskärm, tangentbord, dockningsstation, kablage, möss etc. Policyn ska tillämpas i följande situationer (listan är inte fullständig): Kassering eller försäljning efter uppnådd livslängd Återinstallation inom organisationen eller till anställda Återlämning av utrustning när leasingperioden är slut Villkoret för säker radering av data på utrustning som inte ägs av organisationen, måste fastställas i ett juridiskt avtal mellan organisationen och utrustningsleverantören. Utrustning eller datamedier som inte går att radera på ett säkert sätt ska destrueras.

1. Inledning 1.1 BAKGRUND Det är avgörande för en organisation att säkerställa miljömässigt hållbar hantering av teknisk utrustning samt förhindra obehörig åtkomst till företagsinformation och andra data när teknisk utrustning (t.ex. datorer, kopieringsmaskiner, nätverksskrivare, kassautrustning, mobiltelefoner, minnesenheter (som USB-minnen och hårddiskar) och datamedier (som cd-skivor, dvd-skivor och band) placeras utom organisationens kontroll. Den här typen av utrustning innehåller både miljöfarligt material samt digital information från organisationen som kan vara affärskritisk, skyddad av lag, upphovsrättsskyddad, konfidentiell, privat eller licensskyddad (t.ex. programvara) eller nödvändig att skydda av andra skäl. Även information i filer som användaren tror sig ha tagit bort via delete eller formatering går att återställa. Därför måste samtliga data raderas från all teknisk utrustning som kan användas för lagring och/eller bearbetning av organisationens information. Raderingen måste utföras med en säker certifierad metod innan utrustningen vidarebefordras till andra parter. 1.2 DEFINITIONER, AKRONYMER OCH FÖRKORTNINGAR Säker radering En lösning för att med certifierad och godkänd dataraderingsprogramvara radera alla data som har lagrats på hårddiskar eller andra typer av lagringsenheter. Information som måste raderas innefattar även omfördelade, defekta sektorer samt HPA- och DCO-områden. Avmagnetisering Att eliminera eller minska ett magnetfält. Avmagnetisering är ett snabbt och effektivt sätt att tömma ett helt lagringsmedium. En särskild avmagnetiseringsenhet används för raderingen. Destruering Att förstöra lagringsenheten fysiskt genom att till exempel bränna upp, smälta, skära sönder, pulvrisera, borra sönder eller krossa den, så att det blir omöjligt att återställa mediets data. Destrueringsmetoderna är utformade för att förstöra mediet fullständigt och skall användas i sista hand. 2. Säker raderingsprocess 2.1 ANSVAR Det är den definierade processägarens ansvar att verifiera att rutinerna för säker radering uppfyller de krav som definieras i detta dokument. Verifiering av processer för säker radering ska utföras åtminstone en gång per år eller närhelst nya typer av datamedier eller teknisk utrustning införs. Verifieringsprocessen ska dokumenteras. Om en tjänsteleverantör anlitas för att utföra proceduren, måste fullständig spårbarhet krävas och organisationen måste verifiera att uppgiften har slutförts med godkänt resultat. Vid beslut om att använda säker radering eller fysisk destruering bör också miljöaspekterna beaktas. Elektroniskt avfall kan innehålla stora mängder toxiska ämnen och skall därför omhändertas på ett miljöriktigt sätt. 2.2 VERIFIERING AV PROGRAMVARA OCH UTRUSTNING FÖR SÄKER RADERING Alla processer för säker radering måste valideras och ska uppfylla kraven enligt detta dokument. Valideringen ska baseras på externa certifikat och godkännanden för den programvara och utrustning som används för dataförstöringen. Externa certifieringsmyndigheter är till exempel statliga certifieringsorganisationer, nationella försvarsmyndigheter som hanterar testning och godkännanden och/eller organisationer som utför allmän kriterietestning. Intern testning som baseras på grundlig analys av de raderade medierna kan också godkännas om test processerna uppfyller aktuella branschstandarder och om utförlig dokumentation utförs.

2.3 ALLMÄNNA RIKTLINJER Skadade lagringsenheter eller datamedier måste riskbedömas i syfte att fastställa om enheterna bör raderas, destrueras, repareras eller kasseras. I hänvisnings- och bevissyfte måste säker radering, avmagnetisering eller destruering av teknisk utrustning eller datamedier rapporteras och registreras för att spårbarhet skall kunna uppfyllas. För leasad teknisk utrustning måste leasingavtalet innehålla alla krav för säker radering och annan hantering beroende på situation. Viktiga frågor att beakta: Finns det en validerad procedur för säker radering för den specifika typen av utrustning eller det specifika mediet? Är utrustningen eller datamediet så defekt, så att säker radering inte är möjlig? Persondatorer (laptops och stationära) För persondatorer är det inte nödvändigt att förstöra hårddisken fysiskt, förutsatt att den raderas med en säker metod. En persondator kan anses vara säkert raderad om den metod som användes ger bevisad borttagning av data från alla adresserbara delar av lagringsenheten. Sådan dataradering ska utföras för persondatorer som ska kasseras eller avyttras. Om avmagnetisering utförs går det inte att använda hårddisken igen. Därför används avmagnetisering normalt bara för tömning av defekta hårddiskar. Servrar och lagringsutrustning Servrar och serverbaserade lagringssystem innehåller sannolikt en mycket stor mängd data från flera olika källor. En separat process för säker radering bör därför implementeras för varje typ av lagringssystem (t.ex. NAS, SAN) och hårddisktyp (t.ex. RAID-nivå, SCSI, ATA, SATA) som används. Kopieringsmaskiner, nätverksskrivare och faxar Kopieringsmaskiner ansluts allt oftare till nätverket och många gånger används de även som nätverksskrivare. Alla kopieringsmaskiner, nätverksskrivare och faxmaskiner som innehåller en hårddisk innehåller sannolikt även känslig data. Även om denna information inte är direkt tillgänglig för användarna av dessa maskiner, är den potentiellt tillgänglig för reparatörer, underhållspersonal eller extern part. Alla sådana maskiner bör därför genomgå en säker dataradering, avmagnetisering eller destruering vid kassering eller avyttring. Mobiltelefoner, smartphones och handdatorer Alla mobiltelefoner och särskilt modeller med en avancerad funktionsnivå (t.ex. smartphones) skall om möjligt säkert raderas och/eller fabriksåterställas av organisationen eller vald partner. Kom ihåg att ta ut SIM-kort ur telefonen, samt att definiera en rutin för hantering av externa minneskort i telefonen. Kassasystem I många fall är utrustning som används vid försäljningsställen hyrda och kravet på säker radering bör därför tas upp i ett juridiskt avtal. Om utrustningen ägs av organisationen ska samma procedurer användas som för persondatorer eller servrar. Flyttbara minnen (USB minnen, SD-kort och externa hårddiskar) Vanligt borttagna filer på flyttbara lagringsenheter kan återskapas. Dessutom är det möjligt att återskapa filer på enheter som har återformaterats genom t.ex. Microsoft Windows Format eller då kortets filsystem har skadats. Säker radering eller destruering i sista hand skall utföras.

Cd, dvd och optiska lagringsmedia Det är inte möjligt att ta bort eller rensa information på cd-skivor, dvd-skivor eller andra sorters optiska diskar på ett helt säkert sätt. Den enda godkända lösningen för säker hantering av dessa enheter är avmagnetisering följd av miljöriktig komponentåtervinning. Backup-band Den enda godkända lösningen för säker hantering av dessa enheter är avmagnetisering följd av återanvändning eller miljöriktig komponentåtervinning. 2.4 SÄKER RADERINGSPROCEDUR UTFÖRD AV TREDJE PART Processansvarig kan välja att låta tredje part utföra säker radering och miljöriktig hantering av it-utrustning. En sådan tredje part bör vara ett professionellt ITAD-företag (IT Asset Disposal) som anlitas av organisationen. ITAD- företaget skall erbjuda tjänster kring säker hantering och säker radering av it-utrustning. Vid val av tredje part rekommenderas organisationen att genomföra en kontroll av de företag (ITAD-företag) som tillfrågas rörande säkerställda processer (ISO), säkerhet (säkerhetsklassade lokaler, val av raderingsprogramvara, säkerhetsklassad personal mm), samt undersöka företagets ekonomi. Vidare så rekommenderas att ett avtal mellan organisationen och företaget som anlitas tecknas, som säkerställer hanteringen, ansvarsfördelningen, tjänster och priser. 2.5 KRAV FÖR SPÅRBARHET VID REVISION Följande minimikrav bör uppfyllas: Programvara som används för säker radering kan styrka att processen har fullföljts genom: 1. Serienummer, inventariemärkning och modell gällande utrustning och eller datamedia 2. Vilken raderingsstandard som har använts 3. En raderingsrapport som visar att radering har utförts enligt korrekt procedur. Avmagnetisering och destruering skall loggas manuellt för att uppnå full spårbarhet. BRANSCHRÅDET FÖR DATARADERING OCH HANTERING AV IT-UTRUSTNING Branschrådet för dataradering och hantering av it-utrustning består av ledande aktörer inom recycling och radering. Tillsammans har vi marknadens längsta erfarenhet och kan därför erbjuda en djup kompetens inom området. Detta har utmynnat i en föreslagen policy för fri användning av företag och organisationer. Syftet med policyn är att säkerställa att information och data skyddas från obehörig åtkomst när teknisk utrustning eller datamedier återanvänds, kasseras eller på andra sätt placeras utom organisationens eller valda partners fysiska kontroll. Aktörerna i branschrådet är Atea (leverantör av it-infrastruktur och it-recycling), Blancco (tjänsteleverantör för certifierad dataradering), Inrego (tjänsteleverantör inom it-skiften och it-recycling), samt Ibas (tjänsteleverantör inom dataräddning, dataradering och computer forensics).

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss