4.6　数据销毁安全

DSMM官方将数据销毁安全定义为通过相应的手段操作数据及数据存储介质，使数据彻底删除且无法通过任何手段恢复。在该过程中，既包含对数据本身的逻辑销毁，又包含对数据存储介质的物理销毁，因此DSMM在该阶段包含两个过程域：数据销毁处理和存储介质销毁处理。

4.6.1　数据销毁处理

DSMM官方将数据销毁处理定义为通过建立针对数据的删除和净化机制，实现对数据的有效销毁，防范因对存储介质中的数据进行恢复而导致的数据泄露风险。

DSMM标准在充分定义级对数据销毁处理的要求具体如下。

（1）组织建设

组织应设立负责数据销毁处理管理的岗位，由相关工作人员负责制定数据销毁处理规范，并推动相关要求在业务中的落实和执行。

（2）制度流程

• 应分类分级建立数据销毁策略和管理制度，明确数据销毁的场景、销毁对象、销毁方式和销毁要求。
• 应建立规范的数据销毁流程和审批机制，设置相关的监督角色，监督操作过程，并对审批和销毁过程进行记录和控制。
• 应按国家相关法律和标准销毁个人信息、重要数据等敏感数据。

（3）技术工具

• 应针对网络存储数据建立硬销毁和软销毁的数据销毁方法和技术，如采用基于安全策略、分布式算法等网络数据分布式存储的销毁策略和机制。
• 应配置必要的数据销毁技术手段与管控措施，确保以不可逆的方式销毁敏感数据及其副本内容。

（4）人员能力

负责数据销毁安全工作的人员应熟悉数据销毁的相关合规要求，能够主动根据政策变化和技术发展更新相关知识和技能。

基于上述定义，以及对应充分定义级的要求，10.1节将对数据销毁处理的相关内容进一步展开讲解，并给出实践指南。

4.6.2　介质销毁处理

DSMM官方将介质销毁处理定义为通过建立对存储介质安全销毁的规程和技术手段，以防范因存储介质丢失、被窃或未授权的访问而导致存储介质中存在数据泄露的安全风险。

DSMM标准在充分定义级对介质销毁处理的要求具体如下。

（1）组织建设

组织应设立负责介质销毁处理管理的岗位，由团队一起制定组织介质销毁管理的制度，并推动相关要求在业务中的落实。

（2）制度流程

• 应明确存储介质销毁处理的策略、管理制度和机制，明确销毁对象和流程。
• 应依据存储介质存储内容的重要性，明确磁介质、光介质和半导体介质等不同类别存储介质的销毁方法。
• 应明确对存储介质销毁的监控机制，确保对所要销毁的存储介质实施登记、审批、交接等销毁过程，并进行监控。

（3）技术工具

• 组织应提供统一的存储介质销毁工具，包括但不限于物理销毁、消磁设备等工具，以便实现对各类介质的有效销毁。
• 应针对闪存盘、硬盘、磁带、光盘等存储介质数据建立硬销毁和软销毁的数据销毁方法和技术。

（4）人员能力

负责该项工作的人员应能够根据数据销毁的整体需求，明确应使用的介质销毁工具。

基于上述定义，以及对应充分定义级的要求，10.2节将对介质销毁处理的相关内容进一步展开讲解，并给出实践指南。 ZxvFd1dbu2CqGiNmGhhR+W/+N+OsdL9DM93Ozm9e+PGa+xs1+Wcs4oEs7UV2Y199