DIN-Norm 66399 und ISO/IEC 21964-1:2018-08
zur Vernichtung von Datenträgern
Die Norm definiert sechs unterschiedliche Materialklassifizierungen, die die Grösse der Informationsdarstellung auf den Datenträgern berücksichtigt (Papierdokumente, optische, magnetische oder elektronische Datenträger und Festplatten).
Die DIN 66399 sowie die ISO/IEC 21964-1:2018-08 definiert sieben Sicherheitsstufen. Ein wesentlicher Unterschied ist die neue Stufe P-4 mit einer Teilchenfläche von max. 160 mm2, die bisherige Stufe 4 wird zur Stufe P-5, aus Stufe 5 wird P-6 und der bisher nicht in der Norm berücksichtigte „Level 6“ wird zur Stufe P-7.
Die Ermittlung des Schutzbedarfs und die Zuordnung der Schutzklasse sowie der Sicherheitsstufen dient der Klassifizierung der anfallenden Daten.
Materialklassifizierung der Norm DIN 66399 sowie ISO/IEC 21964-1:2018-08
P | Informationsdarstellung in Originalgrösse z.B. Papier, Filme, Druckplatten. Sicherheitsstufen P-1 bis P-7 |
F | Informationsdarstellung verkleinert z.B. Mikrofilme, Folie. Sicherheitsstufen F-1 bis F-7 |
O | Informationsdarstellung auf optischen Datenträgern z.B. CDs/DVDs. Sicherheitsstufen O-1 bis O-7 |
T | Informationsdarstellung auf magnetischen Datenträgern z.B. ID-Karten, Disketten. Sicherheitsstufen T-1 bis T-7 |
H | Informationsdarstellung auf Festplatten mit magnetischen Datenträgern. Sicherheitsstufen H-1 bis H-7 |
E | Informationsdarstellung auf elektronischen Datenträgern z.B. Speichersticks, Chipkarten. Sicherheitsstufen E-1 bis E-7 |
Sicherheitsstufen
Sicherheitsstufe P-2
Empfohlen für Datenträger mit internen Daten, die unlesbar gemacht werden sollen.
Materialteilchenfläche ≤ 800 mm2 oder Streifenbreite ≤ 6 mm
Streifenlänge nicht begrenzt.
Sicherheitsstufe P-3
Empfohlen für Datenträger mit sensiblen und vertraulichen Daten.
Materialteilchenfläche ≤ 320 mm2 oder Streifenbreite ≤ 2 mm
Streifenlänge nicht begrenzt (z.B. auch Partikel 4 x 80 mm).
Sicherheitsstufe P-4
Empfohlen für Datenträger mit besonders sensiblen und vertraulichen Daten.
Materialteilchenfläche ≤ 160 mm2 und für regelmässige Partikel: Streifenbreite ≤ 6 mm (z.B. Partikel 4 x 40 mm).
Sicherheitsstufe P-5
Empfohlen für Datenträger mit geheim zu haltenden Daten.
Materialteilchenfläche ≤ 30 mm2 und für regelmässige Partikel: Streifenbreite ≤ 2 mm (z.B. Partikel 2 x 15 mm).
Sicherheitsstufe P-6
Empfohlen für Datenträger mit geheim zu haltenden Daten, wenn aussergewöhnlich hohe Sicherheitsvorkehrungen einzuhalten sind.
Materialteilchenfläche ≤ 10 mm2 und für regelmässige Partikel: Streifenbreite ≤ 1 mm (z.B. Partikel 0,8 x 12 mm).
Sicherheitsstufe P-7
Empfohlen z.B. für Datenträger mit streng geheim zu haltenden Daten, wenn höchste Sicherheitsvorkehrungen einzuhalten sind.
Materialteilchenfläche ≤ 5 mm2 und für regelmässige Partikel: Streifenbreite ≤ 1 mm (z.B. Partikel 0,8 x 5 mm)
Schutzklassen
Um bei der Datenträgervernichtung dem Wirtschaftlichkeitsprinzip bzw. Angemessenheitsprinzip Rechnung zu tragen, ist es notwendig, die Daten in Schutzklassen einzuteilen. Dabei ist der Grad der Schutzbedürftigkeit ausschlaggebend für die Wahl der Sicherheitsstufe in Bezug auf die Vernichtung der Datenträger.
Schutzklasse 1
Normaler Schutzbedarf für interne Daten.
Diese Informationen sind für grössere Gruppen bestimmt und zugänglich. Unberechtigte Offenlegung hätte begrenzte negative Auswirkungen auf das Unternehmen. Der Schutz personenbezogener Daten muss gewährleistet sein. Beispiele: Nicht Knowhow-relevante Korrespondenz, personalisierte Werbung, Kataloge, Wurfsendungen, Notizen.
Schutzklasse 2
Hoher Schutzbedarf für vertrauliche Daten, die auf einen kleinen Personenkreis beschränkt sind.
Die ungerechtfertigte Weitergabe hätte erhebliche Auswirkungen auf Unternehmen und könnte gegen vertragliche Verpflichtungen oder Gesetze verstossen. Der Schutz personenbezogener Daten muss hohen Anforderungen genügen. Beispiele: Knowhow-relevante Korrespondenz wie Angebote, Anfragen, Memos, Aushänge, Personaldaten.
Schutzklasse 3
Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten mit Beschränkung auf einen kleinen, namentlich bekannten Kreis von Zugriffsberechtigten.
Eine unberechtigte Weitergabe hätte ernsthafte, existenz-bedrohende Auswirkungen für Unternehmen und würde gegen Berufsgeheimnisse, Verträge und Gesetze verstossen. Der Schutz personenbezogener Daten muss uneingeschränkt gewährleistet sein.