11.1 PA18數據銷毀處置

11.1 PA18數據銷毀處置

11.1.1　過程域描述

通過建立針對數據內容的清除、凈化機制，實現對數據的有效銷毀，防止因對存儲介質中的數據內容進行惡意恢復而導致的數據泄漏風險。

11.1.2　等級描述

11.1.2.1　等級1：非正式執行

? 組織建設：未設立崗位和人員負責數據的安全銷毀，僅基于具體的業務需求個案，由業務責任方負責對相關的數據進行銷毀。(BP.18.01)

11.1.2.2　等級2：計劃跟蹤

? 組織建設：明確了執行數據銷毀工作的崗位和人員，多為負責介質的管理、維護團隊。(BP.18.02)
? 制度流程：核心業務確定針對數據內容的數據銷毀方案，方案可綜合考慮數據安全級別、數據銷毀后恢復風險、數據銷毀手段的優缺點等。(BP.18.03)
? 技術工具：利用介質廠商所提供的數據擦除指令或自行編制的數據擦除的指令對需要銷毀的數據內容進行擦除銷毀。(BP.18.04)

11.1.2.3　等級3：充分定義

? 組織建設：組織機構設立統一的負責數據安全銷毀管理的崗位和人員，負責制定各類數據銷毀的規范；各業務團隊的數據管理人員和數據介質的管理、維護團隊依據相關要求負責執行落地。(BP.18.06)
? 制度流程：
1) 基于組織機構的數據安全分類分級的要求以及各類數據銷毀手段的特點，并按照國家相關法律和標準對個人信息、重要數據等敏感信息的銷毀要求制定數據銷毀規范，明確各類數據銷毀的場景以及銷毀的手段，并制定數據銷毀的審批和記錄流程。(BP.18.07)
2) 建立相應的數據銷毀機制，明確銷毀方式和銷毀要求，設置銷毀相關監督角色，監督操作過程，并對審批和銷毀過程進行記錄控制。(BP.18.08)
3) 制定詳細的數據銷毀指引，明確提出針對主要介質所存儲數據的銷毀方法和技術，如針對網絡存儲數據以及針對閃存、硬盤、磁帶、光盤等存儲數據所應采用的數據銷毀的方法和技術，采用基于安全策略、分布式雜湊算法等網絡數據分布式存儲的銷毀策略與機制。(BP.18.09)
? 技術工具：組織機構整體提供了與數據銷毀指引相配套的各類數據銷毀的技術工具（如針對網絡存儲數據、針對閃存、硬盤、磁帶、光盤等存儲數據），從而供數據銷毀的執行人員利用規范的工具產品執行數據的銷毀，確保以不可逆方式銷毀數據及其副本內容，從而保證對同類場景下的數據銷毀效果的一致性。(BP.18.10)

11.1.2.4　等級4：量化控制

? 制度流程：組織機構建立數據銷毀效果評估機制，組織機構對已經完成數據銷毀的存儲介質進行抽樣的銷毀效果進行認定，以保證對數據銷毀工具的持續改進和銷毀方案的整體優化。(BP.18.12)

11.1.2.5　等級5：持續優化

? 制度流程：定期審核數據存儲時長的情況，考慮數據存儲成本的需求、法律法規和更新合同的需求，以及相關數據銷毀技術的發展現狀，對數據銷毀的整體方案進行及時更新。(BP.18.14)