Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.3.21: Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Kontrollin A.3.21 mukaan organisaatioiden on varmistettava, että henkilötietoja sisältäviä tallennusvälineitä sisältävät laitteet on pyyhitty turvallisesti tai niistä on poistettu arkaluonteiset tiedot ennen hävittämistä tai uudelleenkäyttöä. Tämä estää henkilötietojen palauttamisen käytöstä poistetusta laitteistosta.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.21 edellyttää?

Henkilötietoja sisältäviä tallennusvälineitä sisältävät laitteet on tarkastettava sen varmistamiseksi, että kaikki arkaluontoiset tiedot ja lisensoitu ohjelmisto on poistettu tai korvattu turvallisesti ennen hävittämistä tai uudelleenkäyttöä.

Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja käsittelee kriittistä elinkaaren loppumiseen liittyvää riskiä: käytöstä poistettujen tai uudelleensijoitettujen laitteiden tallennusvälineillä olevat henkilötiedot voidaan palauttaa helposti saatavilla olevilla rikostutkintatyökaluilla. Ilman varmennettua tietojen tuhoutumista organisaatiot vaarantavat merkittäviä tietomurtoja aina, kun ne hävittävät, myyvät, lahjoittavat tai uudelleensijoittavat laitteistoa.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.3.21) annetaan seuraavat ohjeet:

  • Varmista varaston uudelleensijoittamisen turvallisuus — Aina kun tallennustilaa varataan uudelleen, kyseisessä tallennustilassa aiemmin sijainneet henkilötiedot eivät saa olla uuden käyttäjän tai järjestelmän käytettävissä.
  • Suorituskykyyn liittyvien poistohaasteiden ratkaiseminen — Henkilötietojen nimenomainen poistaminen voi olla epäkäytännöllistä järjestelmän suorituskykyrajoitusten vuoksi, mikä voi aiheuttaa riskin, että toinen käyttäjä voi päästä käsiksi henkilötietoihin. Tämä riski tulisi välttää erityisillä teknisillä toimenpiteillä.
  • Oletusarvoisesti käsittelee kaikkea mediaa henkilökohtaisia ​​tietoja sisältävänä — Laitteita, jotka sisältävät mahdollisesti henkilötietoja sisältäviä tallennusvälineitä, tulisi käsitellä ikään kuin ne sisältäisivät henkilötietoja, varmistaen, että turvallisia hävitysmenettelyjä sovelletaan riippumatta siitä, onko henkilötietojen esiintyminen vahvistettu.
  • Katso myös A.3.5: Tietojen luokittelu asiaankuuluvia vaatimuksia varten
  • Katso myös A.3.6: Tietojen merkitseminen asiaankuuluvia vaatimuksia varten

Ohjeistuksen varovaisuusperiaate on merkittävä: sen sijaan, että organisaatioita vaadittaisiin selvittämään, sisältääkö jokainen laite todella henkilötietoja (mikä voi olla vaikeaa ja virhealtista), standardi suosittelee, että kaikkia tallennusvälineitä sisältäviä laitteita käsitellään ikään kuin ne sisältäisivät henkilötietoja.

Miten tämä vastaa GDPR:ää?

Kontrolli A.3.21 vastaa seuraavaa GDPR artikkeli:

  • 5 artiklan 1 kohdan f alakohta — Eheyden ja luottamuksellisuuden periaate, joka edellyttää henkilötietojen asianmukaista suojaamista, mukaan lukien suojaaminen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta katoamiselta, tuhoutumiselta tai vahingoittumiselta

Laitteiden turvallisen hävittämisen laiminlyönti on yksi yleisimmistä ja näkyvimmistä tavoista, joilla organisaatiot rikkovat 5(1)(f) artiklaa, mikä usein johtaa täytäntöönpanotoimiin ja merkittäviin sakkoihin.

Täydellinen GDPR:n ja ISO 27701 -standardin välinen vastaavuus on lueteltu alla. GDPR-vaatimustenmukaisuusopas.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.8.2.7 (laitteiden turvallinen hävittäminen tai uudelleenkäyttö). Vuoden 2025 painoksessa on säilytetty samat ydinvaatimukset kuin kohdassa A.3.21, ja täytäntöönpano-ohjeita on kohdassa B.3.21. Periaate, jonka mukaan kaikkia tallennusvälineitä sisältäviä laitteita käsitellään ikään kuin ne sisältäisivät henkilötietoja, on edelleen keskeinen suositus. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.21 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Tietojen tuhoamiskäytäntö — Dokumentoitu käytäntö, jossa määritellään, miten henkilötietoja sisältävät laitteet puhdistetaan ennen hävittämistä tai uudelleenkäyttöä, mukaan lukien hyväksytyt menetelmät (esim. kryptografinen pyyhkiminen, magnetoinnin poisto, fyysinen tuhoaminen)
  • Tuhotodistukset — Sisäisten tiimien tai kolmannen osapuolen hävityspalveluntarjoajien kirjallinen vahvistus siitä, että tietojen tuhoaminen on suoritettu loppuun, mieluiten viitaten tiettyyn omaisuus- tai sarjanumeroon
  • Omaisuuden luovutusrekisteri — Loki kaikista käytöstä poistetuista tai uudelleensijoitetuista laitteista, johon kirjataan omaisuuden tunniste, hävityspäivämäärä, tietojen tuhoamistapa ja vastuuhenkilö
  • Kolmannen osapuolen hävityssopimukset — Jos hävittäminen on ulkoistettu, sopimukset, joissa määritetään tietojen hävittämiseen liittyvät standardit ja vastuu, sekä todisteet hävittäjän due diligence -tarkastuksesta
  • Vahvistustarkastukset — Todisteet siitä, että tietojen tuhoaminen on varmennettu (esim. pistokokeet, otanta tai automaattiset varmennusraportit tietojen pyyhkimisohjelmistosta)

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.20 Tallennusvälineet Hävittäminen on tallennusvälineiden elinkaaren viimeinen vaihe, jota hallinnoi A.3.20 Tallennusvälineet
A.1.4.9 Hävittäminen Rekisterinpitäjäkohtaiset henkilötietojen hävittämisvaatimukset, jotka täydentävät fyysisten laitteiden hävittämistä
A.1.4.6 Tunnistamattomuuden poistaminen ja poistaminen Tiedonpoistovaatimukset, jotka on täytettävä ennen laitteiden hävittämistä
A.3.10 Toimittajasopimukset Kolmannen osapuolen jätehuoltopalvelujen tarjoajien on noudatettava asianmukaisia ​​sopimusehtoja
A.3.14 Asiakirjojen suojaaminen Hävitystodistukset ja -tiedot on säilytettävä todisteina

Ketä tämä valvonta koskee?

A.3.21 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Kaikkien organisaatioiden, jotka omistavat tai vuokraavat henkilötietojen tallentamiseen kykeneviä laitteita, on varmistettava tietojen turvallinen tuhoaminen ennen laitteiden omistajan vaihtumista, olipa kyseessä sitten hävittäminen, myynti, lahjoitus, palautus (vuokrasopimuksen päättyessä) tai sisäinen uudelleenkäyttö.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online laitteiden hävittämisen hallintaa varten?

ISMS.online tarjoaa käytännön työkaluja laitteiden turvalliseen hävittämiseen ja uudelleenkäyttöön:

  • Resurssien elinkaaren seuranta — Seuraa jokaista laitetta hankinnasta sen hävittämiseen asti. Tilapäivitykset ja omistushistoria on linkitetty omaisuusrekisteriisi.
  • Hävityksen työnkulut — Käynnistää hävitystyönkulut, jotka vaativat tietojen tuhoamisen varmentamisen ennen kuin omaisuus voidaan merkitä käytöstä poistetuksi
  • Varmenteiden tallennustila — Lataa ja linkitä tuhoamistodistukset suoraan omaisuustietoihin, jolloin syntyy täydellinen tarkastusketju
  • Toimittajien hallinta — Hallinnoi kolmannen osapuolen jätteenkäsittelypalvelujen tarjoajia sopimustietojen, due diligence -dokumentaation ja suorituskykyarviointien avulla
  • Automatisoidut todistepaketit — Luo tarkastusvalmiita todistusaineistopaketteja, jotka yhdistävät omaisuusrekisterit, hävityslokit ja tuhoamistodistukset A.3.21-vaatimustenmukaisuuden varmistamiseksi

UKK

Mitkä tietojen tuhoamismenetelmät ovat hyväksyttäviä?

Hyväksyttäviä menetelmiä ovat kryptografinen pyyhkiminen (salatun tiedon tekeminen lukukelvottomaksi tuhoamalla salausavaimet), turvallinen päällekirjoitus alan standardien mukaisten algoritmien avulla (esim. NIST 800-88 -ohjeet), degaussointi (magneettisille tallennusvälineille) ja fyysinen tuhoaminen (silppuaminen, murskaus tai polttaminen). Valitun menetelmän tulee olla oikeassa suhteessa henkilötietojen arkaluontoisuuteen ja tallennusvälineen tyyppiin. SSD-levyjen osalta kryptografinen pyyhkiminen tai fyysinen tuhoaminen on suositeltavaa, koska perinteinen päällekirjoitus ei välttämättä tavoita kaikkia tallennussoluja.

Entä vuokralaiselle palautetut leasing-laitteet?

Vuokrattuja laitteita on käsiteltävä samalla tavalla kuin käytöstä poistettuja laitteita: kaikki henkilötiedot on poistettava turvallisesti ennen palauttamista. Vuokrasopimuksessa tulee määritellä tietojen tuhoamiseen liittyvät vastuut ja sallia organisaation suorittaa tai varmistaa tietojen pyyhkiminen ennen kuin laitteet poistuvat sen tiloista. Jos vuokranantaja hoitaa tuhoamisen, hanki kirjallinen vahvistus ja tuhoamistodistukset.

Pitäisikö vaurioituneita tai viallisia laitteita käsitellä eri tavalla?

Vaurioituneiden laitteiden kanssa on oltava erityisen varovainen, koska ohjelmistopohjainen tietojen pyyhkiminen ei välttämättä ole mahdollista. Jos tallennusväline on ehjä, fyysinen tuhoaminen on yleensä turvallisin vaihtoehto. Jos laitteet lähetetään korjattavaksi, organisaation tulee arvioida, voidaanko henkilötietoja sisältävät tallennusvälineet poistaa ennen kuin laitteet lähtevät sen tiloista. Täytäntöönpano-ohjeiden varovaisuusperiaate pätee: jos laitteet saattavat sisältää henkilötietoja, niitä on käsiteltävä ikään kuin ne sisältäisivät.

Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.