Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.3.21: Veilige wegdoening of hergebruik van toerusting

Beheer A.3.21 vereis dat organisasies moet verifieer dat toerusting wat stoormedia met PII bevat, veilig uitgevee is of sensitiewe data verwyder is voor wegdoening of hergebruik. Dit verhoed dat PII van buite werking gestelde hardeware herwin word.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.3.21?

Toerustingitems wat stoormedia met persoonlike inligting bevat, moet geverifieer word om te verseker dat enige sensitiewe data en gelisensieerde sagteware verwyder of veilig oorskryf is voor wegdoening of hergebruik.

Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en spreek 'n kritieke risiko aan wat aan die einde van sy lewensduur ontstaan: PII wat op stoormedia in buite werking gestelde of hertoegewysde toerusting agterbly, kan herwin word met behulp van geredelik beskikbare forensiese gereedskap. Sonder geverifieerde datavernietiging loop organisasies die risiko van beduidende data-oortredings elke keer as hulle hardeware weggooi, verkoop, skenk of hertoewys.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.3.21) verskaf die volgende riglyne:

  • Verseker die veiligheid van hertoewysing van berging — Wanneer stoorplek hertoegewys word, moet enige PII wat voorheen op daardie stoorplek was, nie toeganklik wees vir die nuwe gebruiker of stelsel nie.
  • Spreek prestasieverwante verwyderingsuitdagings aan — Eksplisiete uitwissing van persoonlike inligting kan onprakties wees as gevolg van stelselprestasiebeperkings, wat 'n risiko skep dat 'n ander gebruiker toegang tot die persoonlike inligting kan kry. Hierdie risiko moet vermy word deur spesifieke tegniese maatreëls.
  • Standaard word alle media asof dit PII bevat, behandel — Toerusting wat stoormedia bevat wat moontlik PII kan bevat, moet behandel word asof dit wel PII bevat, en verseker word dat veilige wegdoeningsprosedures toegepas word, ongeag of die teenwoordigheid van PII bevestig is.
  • Sien ook A.3.5: Klassifikasie van Inligting vir verwante vereistes
  • Sien ook A.3.6: Etikettering van inligting vir verwante vereistes

Die voorsorgbenadering in die riglyne is betekenisvol: eerder as om organisasies te vereis om te bepaal of elke stuk toerusting werklik PII bevat (wat moeilik en foutgevoelig kan wees), beveel die standaard aan dat alle toerusting met stoormedia behandel word asof dit PII bevat.

Hoe pas dit by die GDPR?

Beheer A.3.21 karteer na die volgende BBP Artikel:

  • Artikel 5(1)(f) — Die integriteits- en vertroulikheidsbeginsel, wat toepaslike sekuriteit van persoonlike data vereis, insluitend beskerming teen ongemagtigde of onwettige verwerking en teen toevallige verlies, vernietiging of skade

Versuim om toerusting veilig te verwyder, is een van die mees algemene en sigbare maniere waarop organisasies Artikel 5(1)(f) oortree, wat dikwels lei tot handhawingsaksie en aansienlike boetes.

Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.8.2.7 (veilige wegdoening of hergebruik van toerusting). Die 2025-uitgawe behou dieselfde kernvereistes as A.3.21 met implementeringsriglyne in B.3.21. Die beginsel om alle media-bevattende toerusting te behandel asof dit PII bevat, bly 'n belangrike aanbeveling. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online se kragtige dashboard

Begin jou gratis toets

Wil jy verken?

Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand

Aan die begin


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.3.21 beoordeel word, sal ouditeure tipies kyk na:

  • Beleid oor datavernietiging — ’n Gedokumenteerde beleid wat spesifiseer hoe toerusting wat persoonlike inligting bevat, ontsmet moet word voor wegdoening of hergebruik, insluitend goedgekeurde metodes (bv. kriptografiese uitwissing, degaussing, fisiese vernietiging)
  • Sertifikate van vernietiging — Skriftelike bevestiging van interne spanne of derdeparty-verwyderingsverskaffers dat datavernietiging voltooi is, ideaal gesproke met verwysing na spesifieke bate- of reeksnommers
  • Bateverkoopregister — 'n Logboek van alle toerusting wat weggedoen of hertoegewys is, wat die bate-identifiseerder, wegdoeningsdatum, metode van datavernietiging en die verantwoordelike persoon aanteken.
  • Derdeparty-verwyderingskontrakte — Waar wegdoening uitgekontrakteer word, kontrakte wat datavernietigingsstandaarde en aanspreeklikheid spesifiseer, met bewys van behoorlike sorgvuldigheid op die wegdoeningsverskaffer.
  • Verifikasiekontroles — Bewyse dat datavernietiging geverifieer is (bv. steekproefkontroles, steekproefneming of outomatiese verifikasieverslae van data-uitwissingsagteware)

Wat is die verwante kontroles?

Beheer Verhoudings
A.3.20 Stoormedia Weggooi is die laaste fase van die stoormedia-lewensiklus wat deur A.3.20 Stoormedia
A.1.4.9 Beskikking Beheerder-spesifieke vereistes vir die verwydering van PII-data, wat die verwydering van fisiese toerusting aanvul
A.1.4.6 De-identifikasie en verwydering Vereistes vir die verwydering van data wat nagekom moet word voor die wegdoening van toerusting
A.3.10 Verskafferooreenkomste Derdeparty-verwyderingsverskaffers moet gebonde wees aan toepaslike kontraktuele bepalings
A.3.14 Beskerming van rekords Beskikkingsertifikate en rekords moet as bewys behou word

Op wie is hierdie beheer van toepassing?

A.3.21 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Enige organisasie wat toerusting besit of huur wat PII kan stoor, moet veilige datavernietiging verseker voordat daardie toerusting van eienaar verander, hetsy deur beskikking, verkoop, skenking, terugbesorging (aan die einde van die huurkontrak) of interne hertoewysing.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die bestuur van toerustingverwydering?

ISMS.aanlyn bied praktiese gereedskap vir die bestuur van veilige wegdoening en hergebruik van toerusting:

  • Bate lewensiklus dophou — Volg elke stuk toerusting van verkryging tot beskikking, met statusopdaterings en eienaarskapgeskiedenis gekoppel aan jou bateregister
  • Werkvloei vir weggooi — Aktiveer wegdoeningswerkvloei wat verifikasie van datavernietiging vereis voordat 'n bate as buite werking gestel kan word
  • Sertifikaatberging — Laai vernietigingsertifikate direk op en koppel dit direk aan bate-rekords, wat 'n volledige ouditspoor skep
  • Verskaffersbestuur — Bestuur derdeparty-verwyderingsverskaffers met kontrakrekords, dokumentasie vir behoorlike sorgvuldigheid en prestasiebeoordelings
  • Outomatiese bewyspakkette — Genereer ouditgereed bewyspakkette wat bateregisters, wegdoeningslogboeke en vernietigingsertifikate kombineer vir A.3.21-nakoming

Vrae & Antwoorde

Watter datavernietigingsmetodes is aanvaarbaar?

Aanvaarbare metodes sluit in kriptografiese uitwissing (wat geënkripteerde data onleesbaar maak deur die enkripsiesleutels te vernietig), veilige oorskryf met behulp van bedryfstandaardalgoritmes (bv. NIST 800-88-riglyne), demagnetisering (vir magnetiese media) en fisiese vernietiging (versnippering, vergruising of verbranding). Die gekose metode moet proporsioneel wees tot die sensitiwiteit van die PII en die tipe stoormedia. Vir vastetoestandaandrywers (SSD's) word kriptografiese uitwissing of fisiese vernietiging verkies omdat tradisionele oorskryf moontlik nie alle stoorselle bereik nie.

Wat van gehuurde toerusting wat aan die verhuurder terugbesorg word?

Gehuurde toerusting moet dieselfde behandel word as toerusting wat weggegooi is: alle persoonlike inligting moet veilig uitgevee word voor terugbesorging. Die huurooreenkoms moet verantwoordelikhede vir datavernietiging spesifiseer en die organisasie toelaat om data-uitwissing uit te voer of te verifieer voordat die toerusting sy perseel verlaat. Indien die verhuurder vernietiging hanteer, verkry skriftelike bevestiging en sertifikate van vernietiging.

Moet beskadigde of foutiewe toerusting anders behandel word?

Beskadigde toerusting vereis ekstra versigtigheid, want sagteware-gebaseerde data-uitwissing is dalk nie moontlik nie. Indien die stoormedia steeds ongeskonde is, is fisiese vernietiging gewoonlik die veiligste opsie. Indien die toerusting vir herstel gestuur word, moet die organisasie bepaal of PII-bevattende stoormedia verwyder kan word voordat die toerusting sy perseel verlaat. Die implementeringsriglyne se voorsorgbeginsel geld: indien die toerusting PII kan bevat, behandel dit asof dit dit doen.

sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.