DIN 66399 Akten- und Datenträgervernichtung

Akten- und Datenträgervernichtung

Seit Oktober 2012 gibt es eine überarbeitete DIN-Norm zur Akten- und Datenträgervernichtung, nämlich die DIN 66399. Diese Norm stellt die bisherige DIN 32757 (reine Maschinennorm) um und zeigt die Grundlagen und Anforderungen sowie Prozesse zur Vernichtung von sensiblen Daten auf. Bestehend aus 3 Teilen (66399-1= Grundlagen, 66399-2=Anforderungen, 66399-3=kompletter Prozess) gibt die Norm die Freiheit die Schutzklassen und Sicherheitsstufen selbst nach Anspruch zu variieren und den Verfahrensablauf passend darauf abzustimmen. Die Sicherheitsstufen wurden von 5 auf 7 erweitert. Diese Überarbeitung war notwendig um den Ablauf der beteiligten Kreise (Datenbesitzer, Anlagenhersteller und Dienstleister) zu schließen. Alle relevanten Faktoren für eine Rekonstruktion von Informationen sind somit enthalten.

Wer ist betroffen?

Grundsätzlich betrifft die DIN 66399 alle Unternehmen, die Prozesse zur Vernichtung von sensiblen Daten durchführen. 

Ziel der DIN 66399?

Die DIN 66399 hat das Ziel durch Effektivität und Effizienz Kosten und Zeit einzusparen. Insgesamt gibt es drei Varianten für die Datenträgervernichtung: 

1. Vernichtung durch das Unternehmen selbst

2. Vernichtung vor Ort durch externen Dienstleister

3. Vernichtung bei externem Dienstleister direkt

 Die Schutzklassen werden wie folgt aufgeteilt:

1. Klasse: steht für die normale Sicherheit bei internen Daten

2. Klasse: steht für die höhere Sicherheit bei vertraulichen Daten

3. Klasse: steht für die höchste Sicherheit bei besonders geheimen Daten

 

Das bedeutet: 

Jede Firma muss somit für sich selbst schauen, in welche Klassen Sie eingeteilt ist, denn hiernach wird letztendlich geprüft und zertifiziert.

Zudem gibt es die Sicherheitsstufen 1-7 welche die unterschiedlichen Größen des zerkleinerten Materials festlegen         

1 = größte Materialteile (niedrigster Vernichtungsgrad)
7 = kleinste Materialteile (höchster Vernichtungsgrad)

 

Es wird zwischen 5 unterschiedlichen Materialtypen unterschieden. Diese werden mit Buchstaben gekennzeichnet. (PFOTHE-Formel)

P - Informationsdarstellung in Originalgröße (Papier, Film, Druckformen,..)   
F -
Informationsdarstellung verkleinert (Film, Folie,..)
O - Informationsdarstellung auf optischen Datenträgern (CD, DVD,..)
T -
Informationsdarstellung auf magnetischen Datenträgern (Disketten, ID-Karten, Magnetbandkassetten,..)
H -
Informationsdarstellung auf Festplatten mit magnetischem Datenträger (Festplatten)
E -
Informationsdarstellung auf elektronischen Datenträgern (Speicherstick, Chipkarte, mobile
       Kommunikationsmittel, Halbleiterfestplatten,..)

Insgesamt werden folgende Faktoren berücksichtigt: 

  • Schutzklassen (1-3 = Beschreiben die Sicherheitsvorkehrungen  im Unternehmen zur Geheimhaltung)
  • Sicherheitsstufen (1-7 = Stufen der Datenträgervernichtung)
  • Datenträgerarten/Materialbezug (PFOTHE-Formel)
  • Einflussgrößen für die Rekonstruktion von Informationen

Ablauf der Zertifizierung nach der DIN 66399

Das Zertifikat hat eine Gültigkeit von 18 Monaten. Die Zertifizierung durch einen unabhängigen Sachverständigen erfolgt jedoch jährlich. 

Angebot anfragen