ISO/lEC27001（Information Security Management System，简称ISMS），是建立和维护信息安全管理体系的标准。它要求组织通过一系列的过程如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。

ISO27001即信息安全管理体系，信息安全管理体系是一系列的规范，其中ISO27001阐述了信息安全管理体系的范畴和实施要点， 是ISO27000系列的主标准，它以其严格的审查标准和权威的认证体系，成为全球应用最广泛与典型的信息安全管理标准，主要是针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护。ISO27001标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。

ISO 27001信息保护国际标准

如今，媒体设备已不像几年前那样普遍，因为当前的趋势是云计算，尽管仍然有很多人在使用笔式驱动器，外部硬盘驱动器等，当然，云最终存储在服务器（即其硬盘）上，该服务器也是一种媒体设备，如您将在本文后面看到的，媒体设备需要安全处理。

ISO 27001是信息保护的国际标准，我们将了解该标准如何帮助我们处理媒体设备。

什么是媒体？

考虑到在ISO 27001认证中最重要的是信息，我们需要注意用于存储信息的媒体，但是，“媒体”是什么意思？通常，在这种情况下，介质是用于存储信息的设备，因此介质将包括硬盘驱动器，USB笔式驱动器，外部硬盘驱动器，CD，DVD等。

机密信息

许多公司都有一种方法来对其信息进行分类，因为并非所有媒体都具有相同的信息，并且并非所有信息都具有相同的业务价值，例如，包含PDF文件和业务介绍的USB笔驱动器（可以视为公共信息）与包含公司客户数据库的USB笔驱动器（可以视为机密）。

因此，我们需要对信息进行分类，在ISO 27001认证的附件A中，我们具有控件A.8.2.1信息分类，可以为此目的提供帮助，您可以在此处找到关于此的更多信息：根据ISO 27001的信息分类。

但是，如果信息不是公开的（机密，受限制的，内部的等），我们需要以安全的方式存储和处理它，因为它可能带来机密信息泄露的风险，这可能会破坏业务，因为以及表明不遵守法律法规（例如GDPR）。

媒体处理的5个技巧

如前所述，如果您有一个媒体设备存储了归类为机密（或任何其他业务关键级别）的信息，则存在与此相关的风险。好消息是您可以使用风险评估和治疗方法来管理此风险。本文可能对您很有趣：ISO 27001风险评估和处理– 6个基本步骤。

让我们看一个有关如何处理这种风险的简单示例。您拥有资产，例如，一个包含有关业务机密信息的硬盘驱动器。该硬盘驱动器已安装在信息系统（服务器）上，但是您决定将信息移至另一个信息系统，例如，移至另一个服务器或云。该原始硬盘驱动器将用于其他目的，并且在复制所有数据之后，您需要保管原始信息，未经授权的人员不得访问这些原始信息。

要处理此风险，可以通过实施ISO 27001控件A.8.3.2媒体安全控制的处置来降低此风险，以下是实现此安全控制的一些常用方法：

1.物理破坏媒体。您可以执行此操作，例如，通过焚化或切碎等方式进行，这种物理破坏也适用于损坏的设备，但是，请小心，因为损坏的媒体设备也可能具有可以还原的敏感信息，因此，为避免这种情况，您应该物理销毁它。

3.安全删除信息，您可以使用某些软件工具来覆盖信息或以安全的方式删除信息。
 

4.选择一个外部聚会，有很多公司提供销毁媒体的服务，但是在这里，您需要通过定义保密协议来谨慎选择提供者。
 

5.避免聚集效应，最好避免使用大量包含非敏感信息的媒体，因为组中的某些内容可能会变成敏感信息。
 

6.注册处理方式：注册处理方式可为您提供有用的审计跟踪信息（已销毁了哪些介质或可重复使用的介质等）。