ISO 21964
Der Industriestandard für die Vernichtung von Informationsträgern
Sichere Informationsträgervernichtung
Die ISO 21964 (ehem. DIN 66399) definiert als standardisierte Norm Anforderungen an eine zeitgemässe und sichere Aktenvernichtung. Die Vorgaben der Norm werden durch ein Zusammenspiel technischer und organisatorischer Massnahmen erreicht, um die höchstmögliche Sicherheit bei gleichzeitiger Praktikabilität sicherzustellen.
„Herr der Daten“ – Verantwortung und Anforderung an den Kunden
Sie als unser Kunde sind zuständig dafür, die von Ihnen gehaltenen und verwalteten Daten sicher und ordnungsgemäss aufzubewahren und nach Ablauf der Aufbewahrungsfristen zu vernichten. Zu Ihrer Orientierung definiert die ISO 21964 drei Schutzklassen, die Ihnen die Einstufung der fraglichen Daten erleichtern und die erforderlichen Massnahmen zur ordnungsgemässen Vernichtung erläutern.
Neben der rein technischen Seite, d.h. der mechanischen Vernichtungsmethode, tragen organisatorische Massnahmen wie die sichere Sammlung und die Verbringung zum Vernichtungsort wesentlich zum erreichten Schutzniveau bei.
Was müssen Sie als Herr der Daten entscheiden?
- Welche Dokumente sind schutzwürdig und in welche Schutzklasse einzuordnen?
- Welche Sicherheitsstufe ist für die Vernichtung erforderlich?
- Wer führt die Vernichtung durch – Sie selbst oder ein* Dienstleister*in?
- Wo wird die Vernichtung durchgeführt – bei Ihnen vor Ort oder beim leistenden Unternehmen?
- Wie definieren sich die technischen und organisatorischen Massnahmen?
Schutzklassen
ISO 21964-1 Schutzklasse 1
keyboard_arrow_down
Interne Daten mit normalem Schutzbedarf, wie z. B. Informationen, die von vornherein für eine grosse Gruppe von Personen bestimmt sind.
ISO 21964-1 Schutzklasse 2
keyboard_arrow_down
Vertrauliche Daten mit hohem Schutzbedarf, deren Kenntnis nur einem kleinen Personenkreis zugänglich gemacht wird.
ISO 21964-1 Schutzklasse 3
keyboard_arrow_down
Vertrauliche Daten mit sehr hohem Schutzbedarf, die nur einem namentlich bekannten, eng umrissenen Personenkreis zugänglich gemacht werden dürfen, wie z. B. Patientendaten.
Abhängig von der ermittelten Schutzklasse ist die Vernichtung auf einem Sicherheitsniveau durchzuführen, welches in der ISO 21964-1 als „Sicherheitsstufe“ bezeichnet wird. Für Papierdokumente sind die sieben Sicherheitsstufen P-1 bis P-7 relevant.
Sicherheitsstufen
ISO 21964-1 Sicherheitsstufe 1
keyboard_arrow_down
Anwendungsbereich: Allgemeine Daten
Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten ist zwar ohne besondere Hilfsmittel und Fachkenntnisse, aber nur mit erheblichem Zeit- und Arbeitsaufwand möglich.
ISO 21964-1 Sicherheitsstufe 2
keyboard_arrow_down
Anwendungsbereich: Interne Daten
Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert besondere Hilfsmittel sowie erheblichen Zeit- und Arbeitsaufwand.
ISO 21964-1 Sicherheitsstufe 3
keyboard_arrow_down
Anwendungsbereich: Vertrauliche Daten
Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert massgeblichen Einsatz spezieller Hilfsmittel sowie erheblichen Zeit- und Arbeitsaufwand.
ISO 21964-1 Sicherheitsstufe 4
keyboard_arrow_down
Anwendungsbereich: Besonders sensible Daten
Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert aussergewöhnliche Hilfsmittel sowie ausserordentlich hohen Zeit- und Arbeitsaufwand.
ISO 21964-1 Sicherheitsstufe 5
keyboard_arrow_down
Anwendungsbereich: Geheime Daten
Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert „gewerbeunübliche Einrichtungen“, z. B. speziell für diesen Zweck konstruierte Geräte und Prozesse.
ISO 21964-1 Sicherheitsstufe 6
keyboard_arrow_down
Anwendungsbereich: Geheime Daten mit aussergewöhnlich hohem Schutzbedarf
Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten ist nach dem Stand der Technik unmöglich.
ISO 21964-1 Sicherheitsstufe 7
keyboard_arrow_down
Anwendungsbereich: Streng geheime Daten
Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten ist nach dem Stand der Technik sowie nach dem Stand der Wissenschaft unmöglich.
Schutzklassen-Sicherheitsstufen-Matrix
Den einzelnen Schutzklassen sind Mindestniveaus zugewiesen, z. B. muss Material der Schutzklasse 3 mindestens mit Sicherheitsstufe 4 vernichtet werden. Personenbezogene Daten, egal welcher Schutzklasse, müssen in der Vernichtung stets das Mindestniveau Sicherheitsstufe 3 erreichen.
| Schutzklasse | Sicherheitsstufen | |||||||
|---|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | ||
| 1 | X | X | X | |||||
| 2 | X | X | X | |||||
| 3 | X | X | X | X |
Materialarten
Die Materialarten sind wie folgt definiert:
Kategorie | Beschreibung |
|---|---|
| P | Informationsdarstellung in Originalgröße, z. B. Papier, Druckformen etc. |
| F | Verkleinerte Informationsdarstellung, z. B. Microfiche, Folien etc. |
| O | Informationsdarstellung auf optischen Datenträgern, z. B. CDs, DVDs oder BluRay-Discs |
| T | Informationsdarstellung auf magnetischen Datenträgern, z. B. Disketten, ID-Karten etc. |
| H | Informationsdarstellung auf Festplatten mit magnetischem Datenträger |
| E | Informationsdarstellung auf elektronischem Datenträger, z. B. USB-Sticks, Chipkarten etc. |
Zulässige Partikelgrössen für Material der Kategorie P
Durch den Vernichtungsprozess muss das Material zu Partikeln verarbeitet werden, die je nach Sicherheitsstufe eine Maximalgrösse aufweisen dürfen. Durch die Kombination der mechanischen Zerteilung mit zugangs- und zugriffsfreier Behältertechnik sowie durch die Verwirbelung und Verpressung der Vernichtungspartikel erreicht die mobile Vernichtung als Standard die Sicherheitsstufe P-4.
| Sicherheitsstufe | Zulässige Normgröße | Zulässige Toleranzgröße (max. 10%) |
|---|---|---|
| P-1 | 2.000 mm2 | 3.800 mm2 |
| P-2 | 800 mm2 | 2.000 mm2 |
| P-3 | 320 mm2 | 800 mm2 |
| P-4 | 160 mm2 | 480 mm2 |
| P-5 | 30 mm2 | 90 mm2 |
| P-6 | 10 mm2 | 30 mm2 |
| P-7 | 5 mm2 oder zu Asche zerkleinert mit max. 5 mm2 | keine |
