Anhang A 7.14 Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)
Geräte und Betriebsmittel zur Informationsverarbeitung enthalten häufig gespeicherte Informationen, Konfigurationen oder Zugangsdaten. Werden sie unsachgemäß entsorgt oder wiederverwendet, besteht das Risiko, dass Informationen unbefugt offengelegt, wiederhergestellt oder missbraucht werden. Dieses Control stellt sicher, dass Geräte und Betriebsmittel am Ende ihres Lebenszyklus sicher entsorgt oder für eine Wiederverwendung vorbereitet werden.
Zweck des Controls
A 7.14 soll gewährleisten, dass Informationen vor Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln vollständig geschützt werden. Ziel ist es, die Vertraulichkeit von Informationen sicherzustellen und Risiken durch verbleibende Daten oder Konfigurationen zu minimieren.
Anforderungen und Maßnahmen
1. Identifikation betroffener Geräte und Betriebsmittel
Organisationen müssen festlegen, welche Geräte und Betriebsmittel entsorgt oder wiederverwendet werden, insbesondere:
IT-Systeme und Endgeräte
Server, Netzkomponenten und Speichersysteme
mobile Geräte und Datenträger
sonstige informationsverarbeitende Betriebsmittel
Die Identifikation muss nachvollziehbar erfolgen.
2. Klassifizierung der enthaltenen Informationen
Vor Entsorgung oder Wiederverwendung muss bewertet werden:
welche Informationen gespeichert sind
der Schutzbedarf der Informationen
mögliche Risiken bei Offenlegung
erforderliche Schutzmaßnahmen
Die Klassifizierung bestimmt das weitere Vorgehen.
3. Sichere Löschung oder Vernichtung von Daten
Vor Entsorgung oder Wiederverwendung müssen Daten sicher entfernt werden:
vollständige und überprüfbare Löschung
Einsatz geeigneter Löschverfahren
physische Vernichtung von Speichermedien, sofern erforderlich
Verhinderung einer Wiederherstellung
So wird Datenabfluss verhindert.
4. Überprüfung der Wirksamkeit der Maßnahmen
Die Wirksamkeit der Löschung oder Vernichtung muss überprüft werden:
technische Prüfungen
stichprobenartige Kontrollen
Dokumentation der Ergebnisse
Freigabe zur Entsorgung oder Wiederverwendung
Dies erhöht die Sicherheit.
5. Sicherer Umgang bei Wiederverwendung
Bei Wiederverwendung von Geräten müssen zusätzliche Maßnahmen erfolgen:
Rücksetzen auf definierte Ausgangskonfigurationen
Entfernung individueller Benutzerkonten
erneute Sicherheitskonfiguration
Freigabe durch verantwortliche Stellen
So wird ein sicherer Neustart gewährleistet.
6. Kontrolle externer Entsorgungs- oder Verwertungsdienstleister
Nachweise über Entsorgungs- oder Vernichtungsverfahren
Überprüfung der Einhaltung von Vorgaben
Dokumentation der Zusammenarbeit
Dies reduziert Risiken durch Dritte.
7. Dokumentation und Nachweisführung
Alle Maßnahmen müssen dokumentiert werden:
Identifikation der Geräte
durchgeführte Lösch- oder Vernichtungsverfahren
beteiligte Personen oder Dienstleister
Freigabe zur Entsorgung oder Wiederverwendung
Die Dokumentation ist wichtig für Audits und Nachvollziehbarkeit.
8. Überprüfung und kontinuierliche Verbesserung
Die Prozesse zur Entsorgung oder Wiederverwendung müssen überprüft werden:
Bewertung von Vorfällen oder Abweichungen
Anpassung der Verfahren bei Bedarf
Integration von Lessons Learned
regelmäßige Überprüfung der Regelungen
So wird eine nachhaltige Umsetzung sichergestellt.
Zusammenfassung
A 7.14 fordert, dass Organisationen Geräte und Betriebsmittel zur Informationsverarbeitung am Ende ihres Lebenszyklus sicher entsorgen oder wiederverwenden. Durch Identifikation der betroffenen Geräte, Bewertung des Schutzbedarfs, sichere Löschung oder Vernichtung von Daten, Kontrolle externer Dienstleister sowie umfassende Dokumentation wird sichergestellt, dass keine sensiblen Informationen unbefugt offengelegt werden. Das Control ist ein wesentlicher Bestandteil der physischen Informationssicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
