《數據安全技術 電子產品信息清除技術要求》國家標準徵求意見稿發佈
7月14日,中央網絡安全和信息化委員會辦公室組織完成了《數據安全技術 電子產品信息清除技術要求》強制性國家標準的徵求意見稿,並公開徵求意見。該文件規定了電子產品信息清除的技術和功能要求,以及電子產品在回收環節的信息清除和信息清除效果驗證要求,適用於電子產品信息清除功能的設計、開發和驗證,以及規範電子產品回收環節的信息清除過程。
文件內容概覽
文件明確了電子產品信息清除的術語和定義,包括電子產品、存儲介質、信息清除、用戶數據等,並詳細規定了信息清除的範圍和技術要求。電子產品應對用戶可尋址或訪問的數據存儲空間進行清除,包括應用程序、媒體文件、臨時緩存文件、備份數據、系統配置信息等。
電子產品應使用數據覆寫和指令清理技術進行信息清除,並確保用戶數據無法被恢復。電子產品廠商應在操作系統或其他關聯軟件中爲用戶提供一鍵清除所有用戶數據的功能,並滿足特定的技術要求。
電子產品回收經營者在回收時也需進行信息清除,未經用戶同意不得私自讀取、訪問或留存用戶數據,並應確認電子產品用戶數據已經得到有效清除。
信息清除效果驗證要求
電子產品提供的信息清除功能和工具所使用的信息清除技術的效果應進行驗證,包括訪問產品多個區域驗證是否留存用戶數據、使用存儲器編輯工具讀取存儲空間、查看信息清除日誌記錄等。
電子產品回收經營者回收的電子產品應進行信息清除效果驗證,包括抽樣檢查、驗證記錄信息清除情況追溯碼是否能正常查詢等。
| 信息清除技術要求 | 數據覆寫用戶數據空間範圍應符合第4章a)~d); |
|---|---|
| 信息清除技術要求 | 指令清理用戶數據空間範圍應符合第4章e)~g); |
| 信息清除技術要求 | 數據覆寫應覆蓋用戶數據空間的每個存儲單元,並使用字符(如0x00、0xFF或隨機字節)或無意義文件進行依次覆寫; |
| 信息清除技術要求 | 指令清理應刪除映射表文件中用戶數據邏輯地址與物理地址的關係,並在用戶數據已加密的前提下,清理用戶數據的加密密鑰; |
本文編選自:中央網絡安全和信息化委員會辦公室官網;FOREXBNB編輯:陳筱亦。
