Nasze lokalizacje

Tutaj możesz wyszukać lokalizacje w których jest obecna Grupa Rhenus. Możesz nas znaleźć wybierając kraj, konkretną lokalizację Rhenus, obszar biznesowy, a także Twoją lokalizację.

Jak bezpiecznie niszczyć dokumenty? Norma ISO/IEC 21964 i jej praktyczne zastosowanie

Każda informacja jest cenna. Dane osobowe to zaś jedna z najcenniejszych walut na świecie. Niektórzy porównują je do ropy naflowej i wyliczają, że wykorzystanie cyfrowych danych personalnych przynosi firmom i organizacjom w Europie nawet 330 mld euro zysku rocznie. Nic więc dziwnego, że zarówno gromadzenie, jak i przechowywanie informacji, a szczególnie danych wrażliwych, reguluje coraz więcej norm prawnych, których symbolem jest wszechobecne dzisiaj RODO. Dane osobowe to waluta naszych czasów, więc należy je chronić umiejętnie i zgodnie z prawem.

Jak bezpiecznie niszczyć dokumenty Norma ISOIEC 21964 i jej praktyczne zastosowanie

Globalne ujednolicenie objęło również kwestie niszczenia dokumentacji. Regulacje w tym zakresie zebrane zostały w formie normy ISO/IEC 21964. Zasady niszczenia dokumentów i zachowania bezpieczeństwa danych przez wiele lat pozostawały nieunormowane prawnie. Sytuacja zmieniła się wreszcie w 2018 roku, kiedy to lokalną normę DIN 66399 (obowiązującą w Niemczech, choć z braku szczegółowych przepisów posługiwano się nią także w innych krajach) zastąpiła międzynarodowa norma ISO/IEC 21964.

Międzynarodowe regulacje

Norma ISO/IEC 21964 powstała na podstawie zapisów z normy DIN 66399, natomiast rozszerzyła je, wprowadziła podział nie tylko na klasy, ale i stopnie ochrony. Zakłada ona, że  informacja jest nieoderwalna od swojego nośnika – papierowego, elektronicznego, biologicznego. Norma definiuje więc normy niszczenia uwzględniając nie tylko, jaki rodzaj informacji zawarty jest w dokumentach, lecz także na jakim rodzaju dokumentu się on znajduje.

Norma definiuje nie tylko kwestie samego fizycznego efektu utylizacji danych, lecz także przebiegu całego procesu utylizacji. Każdy, kto przetwarza dane poufne, dane osobowe, dane wrażliwe, niezależnie od tego, czy robi to na potrzeby własne lub na zlecenie innych podmiotów, musi zagwarantować takie niszczenie nośników, aby odtworzenie danych było niemożliwe albo co najmniej bardzo trudne, kosztochłonne i wymagające dużych nakładów. Regulacji opisanych w normie przestrzegać muszą zarówno:

  • producenci niszczarek dokumentów - w zakresie wielkości pasków oraz ścinków;
  • usługodawcy wykonujący profesjonalne niszczenie dokumentów – z zakresie przeprowadzenia całego procesu, doboru odpowiednich urządzeń, a także kadry pracowniczej
  • osoby odpowiedzialne za niszczenie danych w firmie – w zakresie doboru odpowiedniego urządzenia i niszczenia z zachowaniem norm bezpieczeństwa.

Dzięki globalnemu zastosowaniu normy ISO/ IEC 21964 klient zlecający usługę niszczenia ma gwarancję, że nośniki danych utylizowane są zgodnie z przepisami gwarantującymi zachowanie bezpieczeństwa danych zgodnie z typem niszczonej dokumentacji. Zlecając usługę niszczenia, trzeba więc upewnić się, że usługodawca zapewnia realizację zadania zgodnie z normą ISO/IEC 21964.

Norma ISO 21964 definiuje przebieg całego procesu utylizacji danych

Co obejmuje norma ISO/IEC 21964?

Norma ISO/IEC 21964 została stworzona, aby skodyfikować i ujednolicić wymagania dotyczące niszczenia danych. Celem wprowadzenia tej normy o zasięgu globalnym było przede wszystkim zapewnienie możliwie jak najwyższej ochrony danych znajdujących się na różnego rodzaju nośnikach.
Sama norma składa się z trzech części:

    • pierwsza poświęcona jest precyzyjnemu określeniu zasad i definicji związanych z niszczeniem nośników danych; 
    • druga określa wymagania dotyczące sprzętu wykorzystywanego do utylizacji nośników danych, w tym precyzyjnie wskazuje wymagania sprzętowe dotyczące bezpiecznego niszczenia nośników danych;
    • trzecia opisuje pożądany proces niszczenia danych, określa normy dotyczące jego przebiegu; wymagania dotyczą osób odpowiedzialnych za zniszczenie oraz wszystkich stron zaangażowanych w proces.

Norma wyróżnia 6 kategorii nośników, które posłużyły następnie do wskazania klas niszczenia różniących się przede wszystkim pożądanym rozmiarem uzyskanych w trakcie utylizacji ścinek oraz stopniem możliwości rekonstrukcji nośnika.

  • P: informacji przekazanych w oryginalnym rozmiarze (papier, inne formy drukowane, filmy rentgenowskie),
  • O: optycznych nośników danych (CD / DVD / Blue-ray),
  • T: magnetycznych nośników danych (dyskietki, karty z paskiem magnetycznym),
  • H: dysków twardych HDD (posiadających magnetyczne nośniki pamięci),
  • F: informacji w pomniejszonym rozmiarze (mikrofilmy, klisze);
  • E: elektronicznych nośników danych (USB, karty chip, dyski twarde, ale wyłącznie półprzewodnikowe SSD).

Klasy i stopnie bezpieczeństwa

Norma ISO/IEC 21964 definiuje 3 klasy ochrony danych. Klasa ochrony określa, z jaką dokładnością dane mają być niszczone. Dopiero z klas ochrony wynikają stopnie bezpieczeństwa, które szczegółowo regulują, w jaki sposób zniszczony ma zostać konkretny nośnik zawierający określony rodzaj informacji:

  • klasa ochrony 1 – podstawowa klasa ochrony dotycząca zwykłych danych lub danych wewnętrznych;
  • klasa ochrony 2wskazująca na zwiększoną potrzebę ochrony danych poufnych, odnosi się przede wszystkim do danych osobowych, a także finansowych, do których dostęp ma wąski krąg osób, a których przekazanie osobom nieuprawnionym mogłoby naruszyć zobowiązania umowne lub ustawowe; dane znajdujące się w klasie ochrony 2 powinny być niszczone w 3, 4 lub 5 stopniu bezpieczeństwa;
  • klasa ochrony 3 – wskazuje na bardzo wysoką potrzebę ochrony danych, dotyczy danych tajnych, których ujawnienie może stanowić niebezpieczeństwo dla życia i zdrowia osób lub stanowić zagrożenie dla ich wolności; chodzi tutaj przede wszystkim o ściśle poufne oraz tajne dokumenty wykorzystywane przez bardzo mały krąg osób; dane tego rodzaju powinny być niszczone w 4, 5, 6 lub 7 stopniu bezpieczeństwa. 

Najbardziej szczegółowy wymiar normy ISO/IEC 21964 stanowią stopnie bezpieczeństwa, które szczegółowo określają sposób niszczenia i finalny jego efekt. Według tej normy większość dokumentów firmowych można zakwalifikować do 2 klasy ochrony, które powinny być niszczone w 3, 4 lub 5 stopniu bezpieczeństwa. Każdy ze stopni bezpieczeństwa wskazuje określoną wielkość ścinków, które powinno się uzyskać w procesie niszczenia. Im mniejsze ścinki, tym szansa rekonstrukcji nośnika jest oczywiście mniejsza, a więc bezpieczeństwo danych – większe. 

  • P-1 dane ogólne: stopień ten rekomenduje się do utylizacji nośników zawierających zwykłe dane, które mają stać się nieczytelne; po przeprowadzeniu takiego niszczenia dane mogą być  co prawda odtworzone bez specjalistycznego sprzętu, natomiast jest to proces czasochłonny: max. powierzchnia ścinka 2000 mm² lub max. szerokość paska 12 mm;
  • P-2 dane wewnętrzne: stopień ten zaleca się do niszczenia nośników zawierających dane wewnętrzne, które mają stać się nieczytelne; podobnie jak przy pierwszym stopniu dane mogą być odtworzone bez specjalistycznych urządzeń, ale jest to proces wyjątkowo pracochłonny; max. powierzchnia ścinka 800 mm² lub max. szerokość paska 6 mm;
  • P-3 dane wrażliwe, poufne, osobowe: stopień ten rekomenduje się do sporej części dokumentacji firmowej, po zniszczeniu nośników odtworzenie danych jest możliwe, ale ze znacznym wysiłkiem, max. powierzchnia ścinka 320 mm² lub max. szerokość paska 2 mm, długość bez limitu;
  • P-4 dane szczególnie wrażliwe: stopień ten rekomenduje się do niszczenia danych poufnych, osobowych, odtworzenie ich po zniszczeniu wymaga już specjalistycznego wyposażenia, które nie jest powszechnie dostępne, max. powierzchnia ścinka 160 mm² i max. szerokość paska 6 mm;
  • P-5 dane tajne: stosowane do nośników zawierających tajne dane, gwarantuje, że odtworzenie takich danych jest właściwie nieprawdopodobne; max. powierzchnia ścinka 30 mm² i max. szerokość paska 2 mm;
  • P-6 tajne dane, dla których należy zachować nadzwyczajne środki bezpieczeństwa: stosowany w wyjątkowych sytuacjach, odtworzenie takich danych przy obecnym stanie techniki jest niemożliwe; max. powierzchnia ścinka 10 mm² i max. szerokość paska 1 mm;
  • P-7 dane ściśle tajne: rekomendowane do nośników zawierających dane wymagające zachowanie maksymalnych  środków bezpieczeństwa; max. powierzchnia ścinka 5 mm² i max. szerokość paska 1 mm.

W Rhenus Data Office stosujemy szczegółowe regulacje wynikające z normy ISO/IEC 21964. Stopień niszczenia danych dopasowujemy do potrzeb naszych klientów. Niszczenie dokumentacji firmowej odbywa się zawsze z zachowaniem co najmniej 3 stopnia bezpieczeństwa. Ponadto, stosujemy regulacje związane z zarządzaniem bezpieczeństwa informacji określone w normie ISO/IEC 27000. Robimy wszystko, aby zagwarantować naszym klientom maksymalne bezpieczeństwo i ochronę ich danych. Cały czas doskonalimy procedury, bardzo świadomie dobieramy kadrę pracowniczą, inwestujemy w sprzęt najwyższej klasy. To wszystko sprawia, że w całej historii firmy z 20-letnim doświadczeniem nie zdarzył się ani jeden przypadek wycieku danych. 

Jeśli chcesz dowiedzieć się więcej o praktycznym wymiarze stosowania normy ISO/IEC 21964, wykorzystywanych przez Rhenus Data Office rozwiązaniach i gwarancjach bezpieczeństwa, jakie dajemy naszym klientom, skontaktuj się z nami. 

Masz pytania?

Skontaktuj się!

Agnieszka Potwardowska

Agnieszka Potwardowska - Specjalista ds. BHP i ISO w Rhenus Data Office Polska. Odpowiada za nadzór nad zintegrowanymi systemami zarządzania wg. Norm ISO 9001 i ISO 27001. Nadzoruje bezpieczeństwo i higienę pracy. Inspektor ochrony danych osobowych. Odpowiada za przeprowadzane w Rhenus Data Office audyty, także audyty drugiej strony, zalecane przez klientów spółki. Odpowiada na wszystkie pytania dotyczące zapewnienia jakości i bezpieczeństwa procesów związanych z zarządzaniem, przechowywaniem, skanowaniem oraz bezpieczną zbiórką i niszczeniem dokumentów. Prywatnie kocha podróże, uwielbia poznawać nowe kultury. 

Tel: +48 605 051 671
Mail: agnieszka.potwardowska@pl.rhenus.com

Wydrukuj

Kontakt

Rhenus Data Office
Polska Sp. z o.o.

al. Katowicka 66,
05-830 Nadarzyn,
Polska
telefon: +48 / 801 013 014
faks: +48 / 22 715 0 717
e-mail: info@rhenus-data.pl