硬碟管理與銷毀手段一樣重要
將報廢、汰換的硬碟,使用抹寫、消磁及物理破壞之後,我們就可以高枕無憂了嗎?其實硬碟銷毀的過程中,我們還必須要有妥善的紀錄,包括每臺銷毀的硬碟資訊、銷毀方式、銷毀執行人員、複查稽核人員,時間與地點等,有了這樣的報告,才有確實完整執行硬碟銷毀的證明。
舉例來說,如果某員工的辦公室電腦中,存有相當重要且敏感的資訊,如果日後這名員工離職,而他所使用的電腦硬碟也銷毀,此時卻爆發了機密或個資外流的狀況,而且來源和這臺電腦有關時,若有足夠記錄證明企業已落實硬碟銷毀,就有機會可以免責。
換句話說,這種情況要提出各種有效證據,說明企業確實有處理指定的硬碟與資料,而且在處理這些資料和硬碟的過程沒有疏失,沒有任何機會讓這些資料外流。而這樣的證明並不難,只要持續記錄都會做的到,但是問題往往就在於沒有記錄,無法證明,存有該筆資料的硬碟經過銷毀。
而無法記錄,或記錄不夠詳實,一般都發生在企業內部自己執行銷毀,卻不小心疏忽造成。因此,目前也有許多廠商提供銷毀服務,可以記錄硬碟銷毀的過程,並且提供完整報表。
作業流程留下記錄是關鍵,銷毀報告整合資產報表可避免作業疏失
目前有提供銷毀服務的廠商,包括潘朵拉、寶信興、錢隆科技、遠象科技的信息守護者、IBM。
這些廠商多數都是消磁機或物理破壞設備的代理或經銷商,以自家的設備代客銷毀硬碟,而所提供的銷毀服務流程基本上大同小異,包括在客戶指定地點執行銷毀作業、錄影存證、銷毀硬碟、將破壞之後的硬碟回收,並提供消磁記錄報告。
一般情況下,他們多數是以硬碟臺數為單位計價,當客戶委託他們破壞100臺硬碟,他們就會在銷毀服務開始前,清點總硬碟數量是否為100臺。而之後提交的銷毀記錄,就會記載這100臺硬碟的廠牌、序號、方法和操作人員等。
有了這樣的報告,我們在日後必要時,可提出基本證明,證實企業有落實硬碟銷毀的流程。
結合資產管理系統,進一步提升銷毀流程與報告的準確度
另外,如果企業本身已經有一套資產管理系統,還可以將報告的記錄與資產管理系統核對,確認銷毀的硬碟,除了數量正確之外,同時可以比對清單,確認有銷毀正確的硬碟。
結合了資產管理系統,我們可以在事前就達到基本的檢核與過濾,免除因為人工的疏失,例如拿錯硬碟,或是有心人士刻意調換硬碟等情況。
因此,如果如果企業自身還沒有資產管理系統,在自己執行銷毀硬碟,或是尋找銷毀服務廠商,務必記得要有完整的銷毀報告。