Het voorkomen van schade aan bedrijfsmiddelen en van onderbreking van bedrijfsactiviteiten.

(Opslag)media dienen beheerd en fysiek beveiligd te worden.

Het management van verwijderbare computermedia, zoals diskettes en CD- ROM’s, moet worden vastgelegd in aparte procedures.

• Het gebruik van de mogelijke computermedia (zoals diskettes en CD- ROM’s) moet worden vastgesteld;
• Alle procedures en autorisatieniveaus rond computermedia dienen duidelijk te zijn gedocumenteerd;
• Alle elektromagnetische gegevensdragers (inclusief intern geheugen van apparatuur) die de GSD verlaten, dienen zodanig grondig te worden gewist dat de gegevens erop niet meer beschikbaar kunnen worden gemaakt (BXIV 8.6, CBP 4.12);
• Alle media met geclassificeerde gegevens dienen conform de eisen te worden behandeld en op een veilige manier worden bewaard.

Het afvoeren en vernietigen van alle soorten media op een veilige, gestandaardiseerde en gecontroleerde manier.

• Media met gevoelige informatie (b.v. persoonsgegevens, testgegevens, systeemdocumentatie) moeten op een veilige en beveiligde manier worden afgevoerd en vernietigd wanneer zij niet langer nodig zijn (BXIV 8.6, CBP 4.12);
• Persoonsgegevens moeten worden vernietigd als de wettelijke bewaartermijn is verstreken;
• Op alle locatie van de GSD dienen voorzieningen aanwezig te zijn om papieren documenten te vernietigen of te laten vernietigen;
• Er dient een procedure voor de vernietiging van (persoons)gegevens opgesteld te zijn die bij de GSD- medewerkers bekend is en regelmatig onder de aandacht wordt gebracht (BXIV 8.6, CBP 4.12);
• Voordat persoonsgegevens worden vernietigd is de toestemming nodig van de verantwoordelijke (BXIV 8.6, CBP 4.12);
• Er dient een administratie gevoerd te worden van de vernietigde originelen, kopieën, back-ups en andere media waarin is vermeld welke functionaris, op welk tijdstip, de gegevens heeft vernietigd en wie daartoe opdracht heeft gegeven (BXIV 8.6, CBP 4.12).

Het opstellen van procedures voor de behandeling en opslag van informatie om deze informatie te beschermen tegen ongeoorloofde openbaarmaking of misbruik.

• Het kopiëren van documenten met klantgegevens moet door of onder toezicht van de opdrachtgever worden uitgevoerd (BXIV 8.6, CBP 4.5);
• Er moet duidelijk worden vastgesteld, welke functionarissen bevoegd zijn tot het ontvangen, bewerken en beheren van persoonsgegevens
  (BXIV 8.6, CBP 4.5);
• Er mogen geen gegevensdragers met persoonsgegevens onbeheerd worden achtergelaten op algemeen toegankelijke plaatsen (bijv. bureaus, printers, faxapparaten, etc.) (BXIV 8.6, CBP 4.11);
• Persoonsgegevens mogen alleen worden gebruikt in relatie tot de werkzaamheden die de functie met zich meebrengt.

Het nemen van maatregelen om systeemdocumentatie te beveiligen tegen ongeautoriseerde toegang en/of ongeoorloofde inzage.

• Elektronische systeemdocumentatie is slechts toegankelijk met de juiste toegangsmachtiging;
• Schriftelijke systeemdocumentatie wordt in een afsluitbare berging bewaard, waarbij de toegang tot de berging is beperkt tot gemachtigden;
• De verzendlijst voor systeemdocumentatie dient zo kort mogelijk te zijn en te worden geautoriseerd door de eigenaar van de toepassing;
• Systeemdocumentatie die zich op een openbaar netwerk bevindt, of via een openbaar netwerk wordt aangeleverd, dient op de juiste manier te worden beveiligd.