A.7 Physische Maßnahmen

A.7.10

Speichermedien

ISO 27001TISAXBSINIS2

Speichermedien müssen über ihren gesamten Lebenszyklus hinweg gemäß dem Klassifizierungsschema und den Handhabungsanforderungen der Organisation verwaltet werden, von der Beschaffung bis zur Entsorgung.

Was fordert dieses Control?

Speichermedien müssen über ihren gesamten Lebenszyklus hinweg gemäß dem Klassifizierungsschema und den Handhabungsanforderungen der Organisation verwaltet werden, von der Beschaffung bis zur Entsorgung.

Warum ist das wichtig?

Wechselmedien sind ein klassischer Weg für Datenabfluss und Malware-Einschleusung. Ihr kontrollierter Umgang verhindert unbemerkten Informationsverlust.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX5.3Direkt
BSISYS.4.5Direkt
NIS2Art. 21 (2) iDirekt
NIS2Art. 21 (2) gIndirekt

Was der Auditor erwartet

  1. 1Richtlinie zum Umgang mit Wechselmedien
  2. 2Verschlüsselung sensibler Daten auf Medien
  3. 3Sichere Aufbewahrung, Transport und Entsorgung

Audit-Checkliste

Dokumente

  • Datenträger-Richtlinie

    Umgang über den gesamten Lebenszyklus

Nachweise

  • Entsorgungsnachweise

    Belege über sichere Löschung oder Vernichtung

  • Bestandsliste sensibler Medien

    Nachvollziehbarer Bestand von Datenträgern mit sensiblen Daten

  • Device-Control-Report

    Durchgesetzte Kontrolle von USB- und Wechselmedien am Endpoint

Technisch

  • USB-Policy

    Kontrolle oder Sperrung von Wechselmedien an Endgeräten

Praxis-Tipps zur Umsetzung

1

USB kontrollieren

Wechselmedien per Endpoint-Policy einschränken oder nur verschlüsselt zulassen.

2

Verschlüsselt transportieren

Sensible Daten auf Medien immer verschlüsseln, auch beim Versand.

3

Lebenszyklus dokumentieren

Von Ausgabe bis Vernichtung nachvollziehbar führen.

4

Cloud statt Wechselmedien

Wo möglich Wechselmedien durch kontrollierte Cloud-Freigaben ersetzen.

Häufige Fehler

USB ohne Kontrolle

Beliebige Sticks lassen sich anschließen und beschreiben.

Medien einfach weggeworfen

Alte Datenträger landen ohne sichere Löschung im Müll.

Häufig gestellte Fragen

Sollten USB-Ports gesperrt werden?

In sensiblen Umgebungen ja, sonst zumindest auf verschlüsselte und freigegebene Medien beschränken.

Wie entsorgt man Datenträger sicher?

Durch zertifizierte Löschung oder physische Vernichtung mit Nachweis, siehe auch A.7.14.

Gilt das auch für Backup-Bänder?

Ja, alle Speichermedien inklusive Bänder fallen unter diese Anforderung.

So hilft CompliantDesk bei A.7.10

Führen Sie Datenträger als Assets mit Klassifizierung und dokumentieren Sie Ausgabe, Rückgabe und zertifizierte Entsorgung lückenlos.